Всем привет! А как можно хранить пароли в бд ?

Уже гуглил видел там разные варианты, а вы какие предпочитаете ?

Хранить нужно только хеши паролей. Хранение 'сырого пароля' строго запрещено

Я читал статью смотрел что нужно "солить", соление получается просто добавление какой-то строки в определенные места и потом хэшировать ?

Для начала достаточно сохранять хеш. Минус простого хеша в том, что его можно сравнить с таблицей готовых хешей и если пароль простой, то так его можно выяснить. Что бы такого избежать, можно добавляль какие-то доп символы в пароль, либо хешировать хеш, усложняя возможность подбора по таблице. Это прям отдельная тема, на раннем этапе я бы остановился на простом хешировании не придумывал что-то новое

А какой алгоритм хэширования юзать?

Погугли

потом будет тупить "а шо так долго считает"

Blowfish? 😂

Возьми sha256 из hashlib. У него конечно есть свои минусы. Но для типового сервиса вполне подходит

Сейчас увидел как простой майнкрафтер при помощи програмки сломал sha256

Если в тебя пароль qwerty123 то украв хеш выяснить этот пароль, имея таблицу сгенерированных хешей с исходными паролями не составляет проблемы. По этому и создаются различные критерии к паролями, что бы усложнить возможность подбора пароля путем сопоставления хешей.

Хэш функция не ломается Она проста как камень Можно только забрутить хеш по паролю

https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html

нет, нужно использовать специальные схемы предназначенные для хранения паролей. простых хешей недостаточно.

нужно использовать специальные схемы предназначенные для хранения паролей и не выдумывать свои ни в коем случае.

на раннем этапе стоит взять готовую схему вместо того чтобы изобретать свою кривую и дерьмовую криптографию.

Есть ли практика так же 'шифровать' пользовательские данные, например емейл, что бы в случае утечки, невозможно было подобрать пароль к примеру?

нет, не подходит. не пизди пожалуйста.

Грубо

заебали мамкины криптографы

Окей!

эм... шифровать и хешировать это все же разные вещи. для критических данных (например банковские карты) существуют отдельные протоколы, стандарты и схемы хранения и работы с ними.

> Она проста как камень да ладно? серьезно? > Хэш функция не ломается расскажи это MD5

Хэш функция - просто одностороннее вычисление, например остаток от деления - простейшая хэш функция Естественно что с увеличением мощности компьютеров нерешаемые проблемы становятся решаемыми

4914e9cc8ce9e08cfe65baf6e66ab9f9 ломай, 8 символов )

$python$

сбрутил))

просто загуглил радужную таблицу

0acba6690e158b22fce5e2371fc86966 md5

не находит такой. Но это и неважно.

там 10 символов и это уже не слово а рандом, почему не важно? обратить не смог, значит свою функцию выполнило

Ну то есть ты реально закладываешь безопасность системы на уровне «залетный Януш не смог подобрать за 5 минут, не сильно стараясь значит ок»?

если чесно я немного прихуел, когда он первый хеш расшифровал, все таки там было два спецсимвола, хз как теперь с этим жить

Читать ссылку что я давал выше