Цитата: GT-R от 21.03.2019 23:46:28Для интереса, почитайте про т.н. rainbow files. Оптимизма по поводу менеджеров паролей для профессионалов поубавится. Только хардкор, только многофакторная аутентификация.
Слышали звон? Так вот, меня вы им не напугали
- радужные таблицы на типичный сгенерированный пароль символов в 30 занимают настолько большой объём, что их просто нет в природе. Скажем, если использовать оба регистра только английских букв, 26 + 26 + 10 цифр + десятка полтора спецсимволов, то это будет грубо 75 в 30-той степени, или 10 в 58 степени, если онлайн калькулятор не наврал. Умножая на длину хэша, получаем порядка 10 в 60 степени. Террабайт - это всего-то 10 в 12 степени, если считать его в степенях 10, а не 2, так что потребуется всего-то где-то террабайт террабайтов террабайтов террабайтов террабайтных дисков для хранения - нету столько дисков на планете. В наблюдаемой вселенной атомов всего-то примерно 10 в 80-той степени.
- эти таблицы бесполезны чуть более чем полностью, если хэш от пароля считается с солью, разной для каждого пароля, просто потому что на каждую соль нужно считать отдельную таблицу
- для применения этих таблиц на практике нужен доступ на чтение хэшей паролей в БД, который обычно не раздают всем желающим
А про многофакторную аутентификацию ... на миллиардах сайтов её нет. Что же, совсем на них не ходить что ли? Не говоря уже о том,что пароли бывают не только от сайтов ...