это не пруф. пароли вполне могут храниться и в зашифрованном виде с хитрой системой авторизации и предоставления ключей для расшифровки. а логиниться можно и по незащищенному хэшу из таблички.
> это не пруф. пароли вполне могут храниться и в зашифрованном виде с хитрой системой авторизации и предоставления ключей для расшифровки. а логиниться можно и по незащищенному хэшу из таблички.
Пример в студию, где такое есть и в чем смысл таких телодвижений? Да и при таком раскладе, всегда можно получить пароль изначальный. Не спорю, что в базе может и закодировано все по какому-то ключу, дабы избежать взлома базы и увода паролей. Но это ИМХО снова бред.
Ты уверен, что они не создаются заново каждый раз, когда ты их запрашиваешь?
В этом смысл и есть, что поэтому они не зашифрованы.
==============================================================
СООБЩЕНИЕ ОТОСЛАНО НА АДРЕС,
УКАЗАННЫЙ В ПОЛЕ E-MAIL ДОГОВОРА ХХХХХХ/NIC-D
==============================================================
Здравствуйте,
ХХХ ХХХ ХХ ХХ:ХХ:ХХ ХХХХ
в RU-CENTER поступил запрос с IP-адреса ХХХ.ХХХ.ХХХ.ХХХ
на предоставление административного пароля по договору/анкете ХХХХХХ/NIC-D.
> Пример в студию, где такое есть и в чем смысл таких телодвижений? Да и при таком раскладе, всегда можно получить пароль изначальный. Не спорю, что в базе может и закодировано все по какому-то ключу, дабы избежать взлома базы и увода паролей. Но это ИМХО снова бред.
пример не могу, ибо NDA. смысл же - как раз таки в безопасности.
хэши лежат в обычной табличке и позволяют авторизоваться. если их оттуда вытащат - не велика беда. закриптованные же пароли хранятся в защищенном хранилище, лучше если на другом сервере, и для доступа к ним/инициации высылки пароля пользователю (лучше даже так, и запретить выдачу пароля из базы даже по запросу приложения) нужен спец. ключ/сертификат.
А в процессе восстановления, пароль, полученный из защищенного хренилища с другого сервера с помощью спец. ключа/сертификата, высылается пользователю по открытому каналу (сиречь почте).
в банке твои деньги тоже хранят не в преобразованном виде.
Тут весь вопрос в том, насколько надежно они их хранят.
Если сервер, на котором лежат эти данные умеет делать только две операции: проверить правильность переданного ему пароля, и выслать его на майл, указанный при регистрации, то добраться до этих данных будет достаточно сложно (например, найти и получить доступ к бакапу или сломать кеширующий DNS и выдавать этому серверу неверный MX).
Получал когда-нибудь пластиковую карту? Мне не нравится, что работники банка имеют полный доступ к набору данных: номер карты + дата действия карты + секретный код. Тупо приходится надеяться на их порядочность. Закрывали бы секретный код фольгой, как в мгновенных лотереях. Нужен он хозяину карты, пусть открывает, нет - пусть будет скрыт.
С хранением пароля в открытом виде такая же история, в случае проблем тебе скажут, что сам пролюбил пароль, а на самом деле не факт. Не так ли?