Шифрование паролей перед занесением в базу данных

@FrozFox · Регистрация: 01.03.2013

Студворк — интернет-сервис помощи студентам

для авторизации на ресурсе используется пара логин+пароль, но предположим, что бд могут тупо слить. значит, для того, чтобы сохранить пароль пользователя в сохранности (а пользователя ведь любят использовать одни и те же пары логин+пароль на разных ресурсах) его требуется зашифровать, причем зашифровать надежно, чтобы расшифровка пароля в ближайшие 150 лет была невозможна без применения криптографического анализатора на пользователе. Просветите, дяденьки, что делать и какой гем использовать?
------
150 лет с учетом прогресса разумеется =)

@Nameless One · 05.04.2013, 06:24

https://www.ruby-toolbox.com/categories/encryption

Сообщение от FrozFox

причем зашифровать надежно, чтобы расшифровка пароля в ближайшие 150 лет была невозможна без применения криптографического анализатора на пользователе.

А так ли уж нужно в данном случае шифрование? Вместо зашифрованного пароля можно хранить его хеш, полученный, к примеру, с помощью алгоритмов sha1 или md5 с уникальной солью. Расшифровать такой хэш по определению нельзя, т.к. для этих алгоритмов обратной функции нет, можно лишь попробовать подобрать пароль, хеш которого будет равен хранимому хешу, но это почти невозможно.

А вообще, зачем велосипедить управление пользователями и паролями, если уже есть Devise?

@FrozFox · 05.04.2013, 19:44 **[ТС]**

ой, прошу прощения за каламбур, просто я шифрованием называю любые преобразования данных с целью их защитить. Мне нужен алгоритм хеширования подобный md5, но я не знаю, стоит ли его использовать ибо раз есть сервисы подобные http://md5list.ru/ (не реклама), то вполне ожидаемо, что любой пользователь (обладающий навыками программирования на си) сможет попытаться расшифровать пароли из базы данных путем генерации слов и их хешей с сопоставления с хешами из базы данных. Соль не является гарантом безопасности по той причине, что умный пользователь умудрившийся выкрасть базу данных, сумеет выкрасть и код приложения в котором и будет указание на соль (по этой причине считаю соль неэффективной). Скажем так - меня интересует, есть ли алгоритм хеширования создающий хеш большей длинны. Это нужно, чтобы подбор паролей был максимально долгим.
Многие начинающие программисты говорят об эффективности md5 хеш забывают, что дешифровке подвергается все пароли из базы данных. т.е. У нас есть большая база данных пользователей (около 100 тысяч) и украденное приложение. Читая исходники мы рассматриваем алгоритм соления, а затем наши пароли из бд сортируем для того, чтобы было удобно использовать бинарный поиск. Начинаем перебор всех возможных вариантов попутно проверяя их на базе данных (которая находится в оперативной памяти - объемы позволяют) и за сравнительно короткое время получаем небольшой такой список расшифрованных паролей.
конструкцию md5(соль1+md5+соль2) считаю нехорошей вещью, ибо количество коллизий возрастает.
Если я ошибаюсь - прошу объяснить почему.

Добавлено через 5 часов 7 минут
нашел упоминание о sha512, думаю, буду использовать его + соль.

Новые блоги и статьи Все статьи Все блоги /
Учёным и волонтёрам проекта «Einstein@home» удалось обнаружить четыре гамма-лучевых пульсара в джете Млечного Пути Programma_Boinc 01.01.2026 Учёным и волонтёрам проекта «Einstein@home» удалось обнаружить четыре гамма-лучевых пульсара в джете Млечного Пути Сочетание глобально распределённой вычислительной мощности и инновационных. . .	Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .	Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Programma_Boinc 23.12.2025 Рецензия / Мнение/ Перевод Нашел на реддите интересную статью под названием The Thinkpad X220 Tablet is the best budget school laptop period . Ниже её машинный перевод. Thinkpad X220 Tablet —. . .	PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .
Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .

@FrozFox 10 / 10 / 0 Регистрация: 01.03.2013 Сообщений: 96

	Шифрование паролей перед занесением в базу данных 02.04.2013, 18:00. Показов 3386. Ответов 2 Метки нет (Все метки) для авторизации на ресурсе используется пара логин+пароль, но предположим, что бд могут тупо слить. значит, для того, чтобы сохранить пароль пользователя в сохранности (а пользователя ведь любят использовать одни и те же пары логин+пароль на разных ресурсах) его требуется зашифровать, причем зашифровать надежно, чтобы расшифровка пароля в ближайшие 150 лет была невозможна без применения криптографического анализатора на пользователе. Просветите, дяденьки, что делать и какой гем использовать? ------ 150 лет с учетом прогресса разумеется =) 0

@FrozFox 10 / 10 / 0 Регистрация: 01.03.2013 Сообщений: 96
	05.04.2013, 19:44 [ТС]
	ой, прошу прощения за каламбур, просто я шифрованием называю любые преобразования данных с целью их защитить. Мне нужен алгоритм хеширования подобный md5, но я не знаю, стоит ли его использовать ибо раз есть сервисы подобные http://md5list.ru/ (не реклама), то вполне ожидаемо, что любой пользователь (обладающий навыками программирования на си) сможет попытаться расшифровать пароли из базы данных путем генерации слов и их хешей с сопоставления с хешами из базы данных. Соль не является гарантом безопасности по той причине, что умный пользователь умудрившийся выкрасть базу данных, сумеет выкрасть и код приложения в котором и будет указание на соль (по этой причине считаю соль неэффективной). Скажем так - меня интересует, есть ли алгоритм хеширования создающий хеш большей длинны. Это нужно, чтобы подбор паролей был максимально долгим. Многие начинающие программисты говорят об эффективности md5 хеш забывают, что дешифровке подвергается все пароли из базы данных. т.е. У нас есть большая база данных пользователей (около 100 тысяч) и украденное приложение. Читая исходники мы рассматриваем алгоритм соления, а затем наши пароли из бд сортируем для того, чтобы было удобно использовать бинарный поиск. Начинаем перебор всех возможных вариантов попутно проверяя их на базе данных (которая находится в оперативной памяти - объемы позволяют) и за сравнительно короткое время получаем небольшой такой список расшифрованных паролей. конструкцию md5(соль1+md5+соль2) считаю нехорошей вещью, ибо количество коллизий возрастает. Если я ошибаюсь - прошу объяснить почему. Добавлено через 5 часов 7 минут нашел упоминание о sha512, думаю, буду использовать его + соль. 0