Для работы проектов iXBT.com нужны файлы cookie и сервисы аналитики.
Продолжая посещать сайты проектов вы соглашаетесь с нашей
Политикой в отношении файлов cookie
Сам то читал? Там прямым текстом пишут «оставим за пределами данной статьи способы генерации соли». А в статье рассмотрено как запихнуть соль в пароль, чтобы потом считать хеш от этой строки + приведены таблички, по которым разницы в этом подходе с простой конкатенацией нету.
--
В любом случае хранение соли отдельно открытым текстом никоим образом не ухудшает криптостойкость пароля, так как любое ухищрение, которое ты можешь придумать для генерации соли, в итоге приводит к той же открытой соли. Более того, ухищрения по пермутации символов в пароле с солью ничем не отличаются от еще одного раунда хеширования, то есть тупо бесполезны.
Одна на всех позволяет узнать у кого из пользователей совпадают пароли по совпадающему хешу. Динамическая — это как, выводить соль из имени пользователя? Почты? По id пользователя в таблице? Все это очень херовые варианты, если что. Так что судя по всему кодер ты так себе, bcrypt это industry standard и чуть более толковые люди его разрабатывают.
Оу… а как же вы соль то будете к паролю добавлять? Использовать одну на всех? ну такое ))
--
Почитайте доку по bcrypt или вот тут разжевано https://stackabuse.com/hashing-passwords-in-python-with-bcrypt/
Это не так работает. Пароль дополняется солью и проводится несколько тысяч хеширований. Хеш и соль складываются вместе в виде строки. Брутфорсом просто перебирают изначальный пароль и смотрят, совпадут ли хеши или нет. Ничего не надо «выделять»
А что мешает брутфорсить соленый пароль? Соль хранится рядом с хешем пароля в открытом виде, если что.
---
Если бы вы немного разбирались в теме, то знали бы, что соль — это неплохой способ помешать работе радужных таблиц и не давать возможности сравнивать одинаковые пароли по хешам. От перебора это не защищает ровно никак.
---
Всякие алгоритмы по созданию парольного хеша делают не один раунд хеширования, а достаточно много, что как раз и является защитой от брутфорса.
Никто не ломает через API, кроме совсем уж отмороженных. Берут базы с утекшими паролями и подбирают. Чем правильней считается хеш пароля, тем дольше ломать.
Основная проблема издателя из другой страны — получить денег, а сейчас с этим сложно из-за проблем с трансграничными трансферами денег. Хранить деньги в России и не пользоваться ими, ну такое. Опять же штраф наложить могут и все забрать. Поэтому желающих размещать игры будет исчезающе мало. А вот вложиться в магазин придется знатно, это же не просто линки на скачивание файликов.
Удивительно, зачем же компании тратятся на переезды сотрудников… Может потому что собрать с нуля команду сильно сложнее, особенно учитывая то, что существующий человек уже понятен и знает продукт?
--
Я если что не в России (и даже не в грузинском селе), поэтому представляю о чем говорю ;)
Часто те, кто могут взять интеграл по объему не умеют это превратить в код, для того чтобы сделать продукт. Поэтому в нормальной команде (где эти интегралы нужны) есть те, кто умеет взять интеграл, умеющие это дело формализовать в каком то виде и те, кто это все переведет в быстрый код. Все они обычно зарабатывают примерно одинаково, так как представляют ценность для бизнеса.
Возьмем, к примеру Artec — там и математики, которые знают как, аналитики, которые знают как построить мост от математиков к программистам, и программисты, которые умеют сделать код, который умеет быстро работать с многими гигабайтами сырых данных и переводить это в 3d модельку. Без любого звена — продукта нет. При этом каждый из них не умеет всего, что для продукта надо.
Почитай про digital nomad. Многим пофиг откуда работать. А радости жить в оверпрайснутой Москве и стоять в пробках по три часа в день — мало. Тем, куда приезжает специалист с хорошей зарплатой и платит налоги, прямо радость. Особенно если переезжает целая компания, прикинь как в экономику деньги начинают литься?
--
В любом случае хранение соли отдельно открытым текстом никоим образом не ухудшает криптостойкость пароля, так как любое ухищрение, которое ты можешь придумать для генерации соли, в итоге приводит к той же открытой соли. Более того, ухищрения по пермутации символов в пароле с солью ничем не отличаются от еще одного раунда хеширования, то есть тупо бесполезны.
--
Почитайте доку по bcrypt или вот тут разжевано https://stackabuse.com/hashing-passwords-in-python-with-bcrypt/
---
Если бы вы немного разбирались в теме, то знали бы, что соль — это неплохой способ помешать работе радужных таблиц и не давать возможности сравнивать одинаковые пароли по хешам. От перебора это не защищает ровно никак.
---
Всякие алгоритмы по созданию парольного хеша делают не один раунд хеширования, а достаточно много, что как раз и является защитой от брутфорса.
--
Я если что не в России (и даже не в грузинском селе), поэтому представляю о чем говорю ;)
Возьмем, к примеру Artec — там и математики, которые знают как, аналитики, которые знают как построить мост от математиков к программистам, и программисты, которые умеют сделать код, который умеет быстро работать с многими гигабайтами сырых данных и переводить это в 3d модельку. Без любого звена — продукта нет. При этом каждый из них не умеет всего, что для продукта надо.