Stressweb - брутят

[pchayka]

Ну так прелесть в том, что предлагаемая мной система не мешает вам это сделать изначально.

[Place]

Есть люди с вычислительными ресурсами, да это не школьники с 1 кнопкой, но они есть.

только им, гавнофришарды с 1к онлайном 100 лет не нужны.

[Visor]

Жду плючиков в репку за нескучный вечер и креативность)

Добавлено через 1 минуту

только им, гавнофришарды с 1к онлайном 100 лет не нужны.

Разные фришарды бывают. И даже если 1к онлайна - это не значить что защиты не должно быть - зачем тогда открывать.

Добавлено через 1 минуту

Ну так прелесть в том, что предлагаемая мной система не мешает вам это сделать изначально.

У меня и так сделана, только без нее) Дешевым трюком нельзя закрыть все дыры сайта.

Добавлено через 11 минут
Допишу еще один минус технологии счетчика на живых аккаунтах.
Сайт могут взломать по другому - если он слабо защищен - скачать пароли сервера, попыхтеть с рашифровкой - потом зайти на сервер и слить все что нужно и брута никакого не нужно расшифровкой капчи.

Поэтому возвращаемся к моему первому посту - нужна комплексная защиты, а не заткнуть только 1 маленькую дырочку. Сложности обычно гораздо шире.

[Arzamas]

Большая трабла, что практически на всех серваках используется одинаковое "шифрование" пароля base64_encode(pack('H*', sha1($pass)))

Такое ощущение, что про понятие "соль" никто и не слышал никогда... ведь ничего сложного нет вынести эту самую соль в конфиг логинсервера и конфиг обвязки, чтобы в итоге "шифрование" выглядело base64_encode(pack('H*', sha1($pass . $salt)))

Это несложное действо, сделает невозможным подбор пароля по хэшам со слитых баз...

[pchayka]

Поэтому возвращаемся к моему первому посту - нужна комплексная защиты, а не заткнуть только 1 маленькую дырочку. Сложности обычно гораздо шире.

Ну если вам нужно закрыть дырку, чтоб базу логина не слили, то вам уже мало что из систем защиты поможет.

А вообще конечно этот диалог какой-то фейспалм...

Добавлено через 53 секунды

Это несложное действо, сделает невозможным подбор пароля по хэшам со слитых баз...

И заодно вход на аккаунт игроку.

[Visor]

Большая трабла, что практически на всех серваках используется одинаковое "шифрование" пароля base64_encode(pack('H*', sha1($pass)))

Такое ощущение, что про понятие "соль" никто и не слышал никогда... ведь ничего сложного нет вынести эту самую соль в конфиг логинсервера и конфиг обвязки, чтобы в итоге "шифрование" выглядело base64_encode(pack('H*', sha1($pass . $salt)))

Это несложное действо, сделает невозможным подбор пароля по хэшам со слитых баз...

Проблема в том, что могут слить и базу и страницу регистрации.
А так некоторые команды делают другие алгоритмы шифроввания. Но это единицы.

[Arzamas]

И заодно вход на аккаунт игроку.

Почему это?

Добавлено через 2 минуты

Проблема в том, что могут слить и базу и страницу регистрации.
А так некоторые команды делают другие алгоритмы шифроввания. Но это единицы.

Ну если так судить... то если сольют страницу регистарации, значит что сольют и пароль от БД...

Речь в данный момент все-таки про брут идет, а не про дыры в сайте)

[pchayka]

Почему это?

Это не единственное что нужно сделать. Да и сам способ усложнения хеша сомнителен. Фишка просекаемая довольно легко, а далее дело лишь за подбором этого ключа.

[Arzamas]

Это не единственное что нужно сделать. Да и сам способ усложнения хеша сомнителен. Фишка просекаемая довольно легко, а далее дело лишь за подбором этого ключа.

Впарываем соль длиной символов этак 8, да еще и заборчиком а-ля MeG4SaL7, и сколько сотен лет будут подбирать этот ключ?

но это все-таки не защита от брута, а защита от подбора пароля по радужным таблицам в случае слива БД...

[pchayka]

Вообще обсуждать способы расшифровки слитых баз в теме о бруте это вроде