Шифрование пароля юзера, нужно ли?
Шифрование пароля юзера, нужно ли?
Пароль шифруется типа $2y$10$qk1gd5GrgSkGYoHn6wfe5uyO118T0CVk7DW6J..Ee и записывается в бд. Чисто теоритически взломщик бд может выдернуть все данные и пароль юзера ему нафиг не нужен. А вот если взломщик взломает бразуер юзера, то получит сам пароль(получается, уже без шифрования, то бишь пароль в чистом виде). Но это ведь далеко не каждый взломщик может, да? Следовательно вопрос - зачем вообще шифровать пароль? Или я неправильно это понимаю
Re: Шифрование пароля юзера, нужно ли?
Чтобы взломщик, увидев в базе ваш "pass12345", не залез в вашу почту/скайп/vk, где обычно стоит этот же самый пароль.
Re: Шифрование пароля юзера, нужно ли?
Разве кто-то использует один пароль на несколько сайтов/почт/сервисов? И если взломщик хакнет браузер юзера, то получит тот же бароль без шифровки. Уж не знаю, правда, что из этого сложнее.
Re: Шифрование пароля юзера, нужно ли?
В браузере ведь можно посмотреть пароли от сайтов. И если взломщик сможет получить доступ к браузеру/компу, то и к паролям тоже.
Re: Шифрование пароля юзера, нужно ли?
Если взломщик сможет получить пароли из браузера, то при чем тут сайт?
Если угонщик смог взломать охранную систему автомобиля, производитель автомобиля тут так же не при чем
Re: Шифрование пароля юзера, нужно ли?
Мне просто было интересно узнать, как и что можно ломануть. Но это тема долгая, а ответ на сам вопрос я узнал, так что тему можно закрывать. Всем спасибо за внимание.
-
- Сообщения: 680
- Зарегистрирован: 2017.06.21, 13:50
Re: Шифрование пароля юзера, нужно ли?
Тут все зависит от людей, если у тебя разные пароли для систем то тут я рад.Разве кто-то использует один пароль на несколько сайтов/почт/сервисов?
Учитывать нужно.
1 - Есть кому тяжело все это дается, и в каждой системе для облегчения используют один пароль.
2 - Слабая память.
3 - Фантазии не хватает.
4 - Продолжать не буду.
-
- Сообщения: 680
- Зарегистрирован: 2017.06.21, 13:50
Re: Шифрование пароля юзера, нужно ли?
А я думаю причем, в системе дыра.Если угонщик смог взломать охранную систему автомобиля, производитель автомобиля тут так же не при чем
Кто должен эту дыру закрыть ?
Re: Шифрование пароля юзера, нужно ли?
А если вам приставят пистолет к голове - вы и банковский счет скажете, не только пароли от сайта редтуб.
Следовательно вопрос - а зачем вам тогда деньги?
Меньше думайте, больше делайте, как говорят
- samdark
- Администратор
- Сообщения: 9489
- Зарегистрирован: 2009.04.02, 13:46
- Откуда: Воронеж
- Контактная информация:
Re: Шифрование пароля юзера, нужно ли?
Вот тут в серединке есть про пароли https://www.youtube.com/watch?v=P9zUFzB_NBs
Нравится Yii? Давайте сделаем его лучше!.
Re: Шифрование пароля юзера, нужно ли?
могу еще добавить-если узнают пароль то смогут зайти под текущим юзером на сайт и чтото сделать
например снять деньги
например снять деньги
-
- Сообщения: 680
- Зарегистрирован: 2017.06.21, 13:50
Re: Шифрование пароля юзера, нужно ли?
У меня в интернете работает сайт. Принимает пароли пользователя.trueorfalse писал(а): ↑2017.09.24, 12:21А я думаю причем, в системе дыра.Если угонщик смог взломать охранную систему автомобиля, производитель автомобиля тут так же не при чем
Кто должен эту дыру закрыть ?
Пользователь сохранил пароли в своем браузере или прочем менеджере паролей.
Кто-то стырил пароли с его хранилища паролей и зашел на мой сайт под его данными.
Вопрос: При чем тут я и мой сайт?
-
- Сообщения: 680
- Зарегистрирован: 2017.06.21, 13:50
Re: Шифрование пароля юзера, нужно ли?
Если брать глобально, то не причем.urichalex писал(а): ↑2017.09.24, 20:45У меня в интернете работает сайт. Принимает пароли пользователя.trueorfalse писал(а): ↑2017.09.24, 12:21А я думаю причем, в системе дыра.Если угонщик смог взломать охранную систему автомобиля, производитель автомобиля тут так же не при чем
Кто должен эту дыру закрыть ?
Пользователь сохранил пароли в своем браузере или прочем менеджере паролей.
Кто-то стырил пароли с его хранилища паролей и зашел на мой сайт под его данными.
Вопрос: При чем тут я и мой сайт?
Но можно увеличить безопасность.
1 - Смотрим ip откуда зашел, если расстояние большое то просим ответить к примеру на контрольный вопрос.
- Подтвердить кодом на email или на номер, я думаю если зайдет на email то там тоже будут требовать доп данные.
2 - Продолжать не буду.
В сети читал.
У пользователя своровали 200 тыс рублей, оператор сотовой связи перевыпустил симку (без согласия владельца), и кто то зашел в моб кошелек и вывел их.
Причем тут моб кошелек ?
Почитай тогда что делает веб мани в этом случае, он получает при регистрации идентификатор симкарты и при выводе сверяет с текущем идентификатором.
p.s при каждой восстановление или обновление сим карты, оператор сотовой связи дает новый идентификатор.
Если скажешь забыл дверь закрыть, окно открытое с ключами оставил... это очевидно что тут производитель не причем.Если угонщик смог взломать охранную систему автомобиля, производитель автомобиля тут так же не при чем
Я повторюсь, покупаю машину и все в один голос говорят ее не угонят.
Все сделал по инструкции , как нужно все закрыл и проверил.
На утро угнали машину, кто в данном случае причем ?
Re: Шифрование пароля юзера, нужно ли?
Ну дак то платежные системы, в которых крутятся чужие деньги. И то, они все сделали эти системы безопасности только для того, чтобы снять с себя ответственность, чтобы их пользователи меньше донимали "Вот у меня акк взломали и перевели все деньги. Вернити их вы такие сикие вы винаваты"
-
- Сообщения: 680
- Зарегистрирован: 2017.06.21, 13:50
Re: Шифрование пароля юзера, нужно ли?
Забыл прописать.trueorfalse писал(а): ↑2017.09.24, 21:27Если брать глобально, то не причем.urichalex писал(а): ↑2017.09.24, 20:45У меня в интернете работает сайт. Принимает пароли пользователя.trueorfalse писал(а): ↑2017.09.24, 12:21
А я думаю причем, в системе дыра.
Кто должен эту дыру закрыть ?
Пользователь сохранил пароли в своем браузере или прочем менеджере паролей.
Кто-то стырил пароли с его хранилища паролей и зашел на мой сайт под его данными.
Вопрос: При чем тут я и мой сайт?
Но можно увеличить безопасность.
1 - Смотрим ip откуда зашел, если расстояние большое то просим ответить к примеру на контрольный вопрос.
- Подтвердить кодом на email или на номер, я думаю если зайдет на email то там тоже будут требовать доп данные.
2 - Продолжать не буду.
В сети читал.
У пользователя своровали 200 тыс рублей, оператор сотовой связи перевыпустил симку (без согласия владельца), и кто то зашел в моб кошелек и вывел их.
Причем тут моб кошелек ?
Почитай тогда что делает веб мани в этом случае, он получает при регистрации идентификатор симкарты и при выводе сверяет с текущем идентификатором.
p.s при каждой восстановление или обновление сим карты, оператор сотовой связи дает новый идентификатор.
Если скажешь забыл дверь закрыть, окно открытое с ключами оставил... это очевидно что тут производитель не причем.Если угонщик смог взломать охранную систему автомобиля, производитель автомобиля тут так же не при чем
Я повторюсь, покупаю машину и все в один голос говорят ее не угонят.
Все сделал по инструкции , как нужно все закрыл и проверил.
На утро угнали машину, кто в данном случае причем ?
Если не совпали, то он блокирует средства на какое то количество дней, уже не помню сколько.он получает при регистрации идентификатор симкарты и при выводе сверяет с текущем идентификатором.
-
- Сообщения: 680
- Зарегистрирован: 2017.06.21, 13:50
Re: Шифрование пароля юзера, нужно ли?
В этом случае, все от ситуации зависит.urichalex писал(а): ↑2017.09.24, 21:48 Ну дак то платежные системы, в которых крутятся чужие деньги. И то, они все сделали эти системы безопасности только для того, чтобы снять с себя ответственность, чтобы их пользователи меньше донимали "Вот у меня акк взломали и перевели все деньги. Вернити их вы такие сикие вы винаваты"
Если к примеру деньги большие и они чужие, при потери их появляется шок и тем самым норм думать не получается.
А так, разумный человек поймет чья вина и где они.
Код: Выделить всё
Если к примеру деньги большие и они чужие, при потери их появляется шок и тем самым норм думать не получается.