Шифрование пароля юзера, нужно ли?

Темы, не касающиеся фреймворка, но относящиеся к программированию в целом.
Kreng
Сообщения: 202
Зарегистрирован: 2017.02.16, 10:11

Шифрование пароля юзера, нужно ли?

Сообщение Kreng »

Пароль шифруется типа $2y$10$qk1gd5GrgSkGYoHn6wfe5uyO118T0CVk7DW6J..Ee и записывается в бд. Чисто теоритически взломщик бд может выдернуть все данные и пароль юзера ему нафиг не нужен. А вот если взломщик взломает бразуер юзера, то получит сам пароль(получается, уже без шифрования, то бишь пароль в чистом виде). Но это ведь далеко не каждый взломщик может, да? Следовательно вопрос - зачем вообще шифровать пароль? Или я неправильно это понимаю
Аватара пользователя
ElisDN
Сообщения: 5845
Зарегистрирован: 2012.10.07, 10:24
Контактная информация:

Re: Шифрование пароля юзера, нужно ли?

Сообщение ElisDN »

Чтобы взломщик, увидев в базе ваш "pass12345", не залез в вашу почту/скайп/vk, где обычно стоит этот же самый пароль.
Kreng
Сообщения: 202
Зарегистрирован: 2017.02.16, 10:11

Re: Шифрование пароля юзера, нужно ли?

Сообщение Kreng »

Разве кто-то использует один пароль на несколько сайтов/почт/сервисов? И если взломщик хакнет браузер юзера, то получит тот же бароль без шифровки. Уж не знаю, правда, что из этого сложнее.
zelenin
Сообщения: 10596
Зарегистрирован: 2013.04.20, 11:30

Re: Шифрование пароля юзера, нужно ли?

Сообщение zelenin »

Kreng писал(а): 2017.09.22, 11:14 Разве кто-то использует один пароль на несколько сайтов/почт/сервисов?
все
zelenin
Сообщения: 10596
Зарегистрирован: 2013.04.20, 11:30

Re: Шифрование пароля юзера, нужно ли?

Сообщение zelenin »

Kreng писал(а): 2017.09.22, 11:14И если взломщик хакнет браузер юзера, то получит тот же бароль без шифровки
каким образом он получит бароль?
Kreng
Сообщения: 202
Зарегистрирован: 2017.02.16, 10:11

Re: Шифрование пароля юзера, нужно ли?

Сообщение Kreng »

В браузере ведь можно посмотреть пароли от сайтов. И если взломщик сможет получить доступ к браузеру/компу, то и к паролям тоже.
zelenin
Сообщения: 10596
Зарегистрирован: 2013.04.20, 11:30

Re: Шифрование пароля юзера, нужно ли?

Сообщение zelenin »

Kreng писал(а): 2017.09.22, 14:04 В браузере ведь можно посмотреть пароли от сайтов. И если взломщик сможет получить доступ к браузеру/компу, то и к паролям тоже.
если ты сохраняешь пароли в браузере. если нет, то не получит. Логично?
urichalex
Сообщения: 994
Зарегистрирован: 2015.08.07, 11:03

Re: Шифрование пароля юзера, нужно ли?

Сообщение urichalex »

Kreng писал(а): 2017.09.22, 14:04 В браузере ведь можно посмотреть пароли от сайтов. И если взломщик сможет получить доступ к браузеру/компу, то и к паролям тоже.
Если взломщик сможет получить пароли из браузера, то при чем тут сайт?
Если угонщик смог взломать охранную систему автомобиля, производитель автомобиля тут так же не при чем
Kreng
Сообщения: 202
Зарегистрирован: 2017.02.16, 10:11

Re: Шифрование пароля юзера, нужно ли?

Сообщение Kreng »

Мне просто было интересно узнать, как и что можно ломануть. Но это тема долгая, а ответ на сам вопрос я узнал, так что тему можно закрывать. Всем спасибо за внимание.
trueorfalse
Сообщения: 680
Зарегистрирован: 2017.06.21, 13:50

Re: Шифрование пароля юзера, нужно ли?

Сообщение trueorfalse »

Kreng писал(а): 2017.09.22, 11:14 Разве кто-то использует один пароль на несколько сайтов/почт/сервисов? И если взломщик хакнет браузер юзера, то получит тот же бароль без шифровки. Уж не знаю, правда, что из этого сложнее.
Разве кто-то использует один пароль на несколько сайтов/почт/сервисов?
Тут все зависит от людей, если у тебя разные пароли для систем то тут я рад.
Учитывать нужно.
1 - Есть кому тяжело все это дается, и в каждой системе для облегчения используют один пароль.
2 - Слабая память.
3 - Фантазии не хватает.
4 - Продолжать не буду.
trueorfalse
Сообщения: 680
Зарегистрирован: 2017.06.21, 13:50

Re: Шифрование пароля юзера, нужно ли?

Сообщение trueorfalse »

urichalex писал(а): 2017.09.22, 14:39
Kreng писал(а): 2017.09.22, 14:04 В браузере ведь можно посмотреть пароли от сайтов. И если взломщик сможет получить доступ к браузеру/компу, то и к паролям тоже.
Если взломщик сможет получить пароли из браузера, то при чем тут сайт?
Если угонщик смог взломать охранную систему автомобиля, производитель автомобиля тут так же не при чем
Если угонщик смог взломать охранную систему автомобиля, производитель автомобиля тут так же не при чем
А я думаю причем, в системе дыра.
Кто должен эту дыру закрыть ?
lgXenos
Сообщения: 243
Зарегистрирован: 2015.11.30, 15:42

Re: Шифрование пароля юзера, нужно ли?

Сообщение lgXenos »

Kreng писал(а): 2017.09.21, 21:02 А вот если взломщик взломает бразуер юзера, то получит сам пароль. Следовательно вопрос - зачем вообще шифровать пароль? Или я неправильно это понимаю
А если вам приставят пистолет к голове - вы и банковский счет скажете, не только пароли от сайта редтуб.
Следовательно вопрос - а зачем вам тогда деньги?

Меньше думайте, больше делайте, как говорят
Аватара пользователя
samdark
Администратор
Сообщения: 9489
Зарегистрирован: 2009.04.02, 13:46
Откуда: Воронеж
Контактная информация:

Re: Шифрование пароля юзера, нужно ли?

Сообщение samdark »

Вот тут в серединке есть про пароли https://www.youtube.com/watch?v=P9zUFzB_NBs
kukuruku
Сообщения: 1318
Зарегистрирован: 2011.02.14, 11:36

Re: Шифрование пароля юзера, нужно ли?

Сообщение kukuruku »

могу еще добавить-если узнают пароль то смогут зайти под текущим юзером на сайт и чтото сделать
например снять деньги
trueorfalse
Сообщения: 680
Зарегистрирован: 2017.06.21, 13:50

Re: Шифрование пароля юзера, нужно ли?

Сообщение trueorfalse »

kukuruku писал(а): 2017.09.24, 17:36 могу еще добавить-если узнают пароль то смогут зайти под текущим юзером на сайт и чтото сделать
например снять деньги
Раньше да, сейчас обычно на номер отправляют код подтверждения.
urichalex
Сообщения: 994
Зарегистрирован: 2015.08.07, 11:03

Re: Шифрование пароля юзера, нужно ли?

Сообщение urichalex »

trueorfalse писал(а): 2017.09.24, 12:21
urichalex писал(а): 2017.09.22, 14:39
Kreng писал(а): 2017.09.22, 14:04 В браузере ведь можно посмотреть пароли от сайтов. И если взломщик сможет получить доступ к браузеру/компу, то и к паролям тоже.
Если взломщик сможет получить пароли из браузера, то при чем тут сайт?
Если угонщик смог взломать охранную систему автомобиля, производитель автомобиля тут так же не при чем
Если угонщик смог взломать охранную систему автомобиля, производитель автомобиля тут так же не при чем
А я думаю причем, в системе дыра.
Кто должен эту дыру закрыть ?
У меня в интернете работает сайт. Принимает пароли пользователя.
Пользователь сохранил пароли в своем браузере или прочем менеджере паролей.
Кто-то стырил пароли с его хранилища паролей и зашел на мой сайт под его данными.
Вопрос: При чем тут я и мой сайт?
trueorfalse
Сообщения: 680
Зарегистрирован: 2017.06.21, 13:50

Re: Шифрование пароля юзера, нужно ли?

Сообщение trueorfalse »

urichalex писал(а): 2017.09.24, 20:45
trueorfalse писал(а): 2017.09.24, 12:21
urichalex писал(а): 2017.09.22, 14:39

Если взломщик сможет получить пароли из браузера, то при чем тут сайт?
Если угонщик смог взломать охранную систему автомобиля, производитель автомобиля тут так же не при чем
Если угонщик смог взломать охранную систему автомобиля, производитель автомобиля тут так же не при чем
А я думаю причем, в системе дыра.
Кто должен эту дыру закрыть ?
У меня в интернете работает сайт. Принимает пароли пользователя.
Пользователь сохранил пароли в своем браузере или прочем менеджере паролей.
Кто-то стырил пароли с его хранилища паролей и зашел на мой сайт под его данными.
Вопрос: При чем тут я и мой сайт?
Если брать глобально, то не причем.
Но можно увеличить безопасность.
1 - Смотрим ip откуда зашел, если расстояние большое то просим ответить к примеру на контрольный вопрос.
- Подтвердить кодом на email или на номер, я думаю если зайдет на email то там тоже будут требовать доп данные.
2 - Продолжать не буду.

В сети читал.
У пользователя своровали 200 тыс рублей, оператор сотовой связи перевыпустил симку (без согласия владельца), и кто то зашел в моб кошелек и вывел их.
Причем тут моб кошелек ?
Почитай тогда что делает веб мани в этом случае, он получает при регистрации идентификатор симкарты и при выводе сверяет с текущем идентификатором.
p.s при каждой восстановление или обновление сим карты, оператор сотовой связи дает новый идентификатор.
Если угонщик смог взломать охранную систему автомобиля, производитель автомобиля тут так же не при чем
Если скажешь забыл дверь закрыть, окно открытое с ключами оставил... это очевидно что тут производитель не причем.

Я повторюсь, покупаю машину и все в один голос говорят ее не угонят.
Все сделал по инструкции :D, как нужно все закрыл и проверил.
На утро угнали машину, кто в данном случае причем ?
urichalex
Сообщения: 994
Зарегистрирован: 2015.08.07, 11:03

Re: Шифрование пароля юзера, нужно ли?

Сообщение urichalex »

Ну дак то платежные системы, в которых крутятся чужие деньги. И то, они все сделали эти системы безопасности только для того, чтобы снять с себя ответственность, чтобы их пользователи меньше донимали "Вот у меня акк взломали и перевели все деньги. Вернити их вы такие сикие вы винаваты"
trueorfalse
Сообщения: 680
Зарегистрирован: 2017.06.21, 13:50

Re: Шифрование пароля юзера, нужно ли?

Сообщение trueorfalse »

trueorfalse писал(а): 2017.09.24, 21:27
urichalex писал(а): 2017.09.24, 20:45
trueorfalse писал(а): 2017.09.24, 12:21



А я думаю причем, в системе дыра.
Кто должен эту дыру закрыть ?
У меня в интернете работает сайт. Принимает пароли пользователя.
Пользователь сохранил пароли в своем браузере или прочем менеджере паролей.
Кто-то стырил пароли с его хранилища паролей и зашел на мой сайт под его данными.
Вопрос: При чем тут я и мой сайт?
Если брать глобально, то не причем.
Но можно увеличить безопасность.
1 - Смотрим ip откуда зашел, если расстояние большое то просим ответить к примеру на контрольный вопрос.
- Подтвердить кодом на email или на номер, я думаю если зайдет на email то там тоже будут требовать доп данные.
2 - Продолжать не буду.

В сети читал.
У пользователя своровали 200 тыс рублей, оператор сотовой связи перевыпустил симку (без согласия владельца), и кто то зашел в моб кошелек и вывел их.
Причем тут моб кошелек ?
Почитай тогда что делает веб мани в этом случае, он получает при регистрации идентификатор симкарты и при выводе сверяет с текущем идентификатором.
p.s при каждой восстановление или обновление сим карты, оператор сотовой связи дает новый идентификатор.
Если угонщик смог взломать охранную систему автомобиля, производитель автомобиля тут так же не при чем
Если скажешь забыл дверь закрыть, окно открытое с ключами оставил... это очевидно что тут производитель не причем.

Я повторюсь, покупаю машину и все в один голос говорят ее не угонят.
Все сделал по инструкции :D, как нужно все закрыл и проверил.
На утро угнали машину, кто в данном случае причем ?
Забыл прописать.
он получает при регистрации идентификатор симкарты и при выводе сверяет с текущем идентификатором.
Если не совпали, то он блокирует средства на какое то количество дней, уже не помню сколько.
trueorfalse
Сообщения: 680
Зарегистрирован: 2017.06.21, 13:50

Re: Шифрование пароля юзера, нужно ли?

Сообщение trueorfalse »

urichalex писал(а): 2017.09.24, 21:48 Ну дак то платежные системы, в которых крутятся чужие деньги. И то, они все сделали эти системы безопасности только для того, чтобы снять с себя ответственность, чтобы их пользователи меньше донимали "Вот у меня акк взломали и перевели все деньги. Вернити их вы такие сикие вы винаваты"
В этом случае, все от ситуации зависит.
Если к примеру деньги большие и они чужие, при потери их появляется шок и тем самым норм думать не получается.
А так, разумный человек поймет чья вина и где они.

Код: Выделить всё

Если к примеру деньги большие и они чужие, при потери их появляется шок и тем самым норм думать не получается.
p.s не про всех, частый случай.
Ответить