KR
Ещё если базу украли, то пароли не надо подбирать, достаточно передавать сразу хеш, вся сложность подбора сводится на нет
Ну, при логине прийдётся передавать пароль, чтобы сравивать с хэшом. При регистрации можно просто хэш отдать.
Size: a a a
2020 September 05
KR
Но, имхо, оно того не стоит.
С
Да всё это можно. Argon2 и bcrypt формат нормально парсятся, можно чекнуть на беке передаваемые параметры, что там раундов достаточно и что соль внятная.
Есть схемы с секретной солью. Они не сработают.
KR
Есть схемы с секретной солью. Они не сработают.
Это бред. Соль не может быть секретной.
С
Ну, при логине прийдётся передавать пароль, чтобы сравивать с хэшом. При регистрации можно просто хэш отдать.
Зачем отдавать хеш, если при логине все равно пароль?
KR
Зачем отдавать хеш, если при логине все равно пароль?
Ну вот я и о том.
KR
Что овчинка выделки не стоит, хоть и можно так делать.
С
Нельзя так делать. Уязвимо к pass the hash )
KR
Но вообще, где-то я натыкался на схемы где пароль в открытом виде на север не ходит. Не помню уже деталей. Там с подписями намутки и т.п.
С
Точнее, можно, конечно. Но будет дыра )
KR
Точнее, можно, конечно. Но будет дыра )
Суть дыры?
С
Но вообще, где-то я натыкался на схемы где пароль в открытом виде на север не ходит. Не помню уже деталей. Там с подписями намутки и т.п.
Всё это покрывается TLSом
KR
Всё это покрывается TLSом
Нет
KR
Всё это покрывается TLSом
Здесь смысл в том, что юзер не хотел бы на север никак свой секрет светить.
KR
TLS защищает только от третьих лиц.
С
Здесь смысл в том, что юзер не хотел бы на север никак свой секрет светить.
Зачем ему это делать?
KR
Зачем ему это делать?
Недоверие. А друг сервер запоминает пароль в открытом виде и сливает его третьим лицам?
KR
А у тебя этот пароль ещё не многих сервисах.
KR
В этом есть смысл.
С
Пусть использует уникальный пароль. Одинаковый - это bad practise