Jump to content
php.lv forumi

parole ar vismaz vienu lielo burtu un specsimbolu


maarc93

Recommended Posts

Dievs pasarg no parolēm kuras ir viegli bruteforceot vai atkost izmantojot rainbow table.

 

Tiesa gan, daudz prātīgāk būtu pārbaudīt ka parole ir pietiekami gara (10+ simboli) nekā pārbaudīt vai parole satur “speciālos simbolus“.

Link to comment
Share on other sites

Ja tiks pie datubāzes dumpa, varēs gan. Tad nekādi ierobežojumi nestrādās.

 

No otras puses, ja kāds ir ticis pie datubāzes dumpa, ir lielākas problēmas par iespējamu bruteforce. :)

Link to comment
Share on other sites

Ar db dumpu nepietiek, ir nepieciešams arī šifrēšanas algoritms. Bet, ja tik tiešām tiek pie šiem abiem, tad tā tiešām ir mazākā problēma.

 

Bez tam 8 simbolu parole ar 26 burtiem veido 26^8 = 200 miljardi kombināciju. Ja uzliek šifrēšanu, kas aizņem sekundi mūsdienu CPU jaudas, tad vajadzīgi būs 6000 gadu, lai brūtforsētu pat vienu paroli.

Un cik rāda statistika, tad ļoti daudz lielā burta un ciparu obligātas lietošanas gadījumā, paroli taisa Xxxxx111 formā.

Un tad patiesībā 8 simbolu kombinācija dod:

Xxxxxx1 - 26^7 * 10   =  80 miljardi

Xxxxx11 - 26^6 * 100  = 30 miljardi

Xxxx111 - 26^5 * 1000 = 11 miljardi

Kopā mazāk kombināciju.

Link to comment
Share on other sites

nu ja vienīgā iespēja ir bakstīt paroli webformas logā, tad tā var uzlauzt tikai: parole, abc123 un vēl apmēram astoņas

 

tāpēc pieņemam, ka ir mums 'specforums.sql' pārdesmit megabaitu izmērā

 

algoritmu mazliet vienkāršāk atrast, ja lauznim ir savs konts tajā resursā, tad viņš zina 'user_name', 'crypted_pass' un arī 'pass'

 

pasargāties no lapām, kur ir striktāki paroļu izveides noteikumi ir grūti, jo tās ir visas bankas, VID EDS, mansLMT daļa e-pasta kantoru u.c. vajadzīgu resursu

Link to comment
Share on other sites

Ar db dumpu nepietiek, ir nepieciešams arī šifrēšanas algoritms. Bet, ja tik tiešām tiek pie šiem abiem, tad tā tiešām ir mazākā problēma.

 

Bez tam 8 simbolu parole ar 26 burtiem veido 26^8 = 200 miljardi kombināciju. Ja uzliek šifrēšanu, kas aizņem sekundi mūsdienu CPU jaudas, tad vajadzīgi būs 6000 gadu, lai brūtforsētu pat vienu paroli.

Un cik rāda statistika, tad ļoti daudz lielā burta un ciparu obligātas lietošanas gadījumā, paroli taisa Xxxxx111 formā.

Un tad patiesībā 8 simbolu kombinācija dod:

Xxxxxx1 - 26^7 * 10   =  80 miljardi

Xxxxx11 - 26^6 * 100  = 30 miljardi

Xxxx111 - 26^5 * 1000 = 11 miljardi

Kopā mazāk kombināciju.

Tieši tāpēc bcrypt un laika faktors palielināms ik pa gadam, diviem uz katru jaunu paroles maiņu. 

Link to comment
Share on other sites

Ja konkrēti par parolēm PHP vidē, tad neveidojam kaut kādus savus velosipēdus (lipinam sāļus ar parolēm), bet lietojam password_* funkcijas, http://php.net/manual/en/function.password-hash.php

 

password_hash, password_verify. 

 

Tas gan ir tikai PHP 5.5, bet nu lietot kaut ko vecāku jau tagad gan nevajadzētu...

Link to comment
Share on other sites

Man interesē, cik laba/slikta būtu šāda vienkārša js psw.length > 8 validācija? Tobiš, nelaut formai iet cauri, ja parole ir zem 8 simboliem? 


document.getElementById("submit").onclick = function () {
var x=document.getElementById("password").value;

x = x.length;



if (x < 8) {

alert("Password needs to be at least 8 symbols");
return false;
}

return true;

}

Edited by jurgenz
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...