- RU.PHP ------------------------------------------------------------- RU.PHP -
Msg : #5105 [1078]
От : Nikolai Chuvakhin 2:5020/175.2 11 декабря 03, 03:53
Кому : Andrey Pyasetskiy 11 декабря 03, 05:19
Тема : Хранение паролей в БД
-------------------------------------------------------------------------------
From: "Nikolai Chuvakhin"
Wed Dec 10 2003 18:45, Andrey Pyasetskiy wrote to All:
AP> Как то просматривал исходники phpbb. Вопрос. Какой смысл хранить
AP> пароли в БД не в простом виде, а в зашифрованном?
Во-первых, не в зашифрованном, а в хэшированном (обычно MD5).
Во-вторых, причин несколько. Hавскидку вспоминаются две:
1. Администратор системы не должен знать паролей пользователей,
соответственно, ему они должны быть доступны только в
хэшированном виде.
2. Если взломщик получит в свое распоряжение список логинов
и паролей, он сможет проникнуть в систему только после того,
как подберет пароль (в случае с MD5 это возможно только
методом грубой силы, каковой при правильном подходе к выбору
пароля требует многих лет машинного времени; есть еще метод
атаки по словарю, но он эффективен только в случае, когда
пароли представляют собой слова естественного языка или их
небольшие вариации).
С уважением, Hиколай Чувахин
--- ifmail v.2.15dev5
* Origin: FidoNet Online - http://www.fido-online.com (2:5020/175.2)
При переходе по баннеру - скидка 25% на первый месяц обслуживания! При переходе по баннеру - скидка 25% на первый месяц обслуживания!
