Як Ви зберігаєте паролі в БД?

[Mr_RAS]

Пишу на PHP + MySQL + Smarty + jQuery

Власне питання як Ви зберігаєте паролі в БД?

прочитав цю статтю
Как надо хешировать пароли и как не надо
https://habrahabr.ru/post/210760/

але мене зацікавив цей

Прихований текст: комент 

Причём не вдаваясь в подробности зачем это нужно и как это делать.

1. bcrypt'ованый пароль уже включает соль
2. bcrypt не участвовал и не выигрывал на конкурсах хеширования
3. Нет основания доверять bcrypt, его анализом никто не занимался, а его реализация для PHP имеет коллизии

Относящееся к bcrypt можно также утверждать в отношении scrypt.

bcrypt, а scrypt ещё в большей мере, создают дичайшую нагрузку, в первом случае по процессору, а во втором ещё и по памяти, если кто-то решил устроить перебор паролей через веб-формы.

Так что то, что автор тут нам советует, защищает от одного вектора атак, но подставляет под другие.

як захищатися від атак перебором?

п.с. чи є ще такі збоченці як я, що люблять писати самому, не використовуючи CMS?

[selb]

Використовую приколи з хеш мд5+сіль. Плюс дописую сіль до отриманного результату
Щось таке: md5($parol.$sil)).$sil2
При цьому $sil2 - це взагалі рандомне значення, яке при перевірці обрізається.
Грубо, генеруємо 20 символів основного хешу і дописуємо до нього ще 5 "лівих" символів. Отриманий результат записуємо в БД.
При перевірці просто обрізаємо ті символи...
$БД-5 символів
Як варіант, $sil = логін.пароль.

Узагалі, основним має бути захист від перебору, а не шифрування.
Навряд чи хтось захоче підбирати пароль зі швидкістю 3 варіанта за добу
А при спробах зайти на сторінку входу в адмінку - автоматичний бан.

[Mr_RAS]

вот-вот, а як захищатися від перебору?

[selb]

Аналіз логів на сервері.
Зі звичайним хостингом складніше, але можна реалізувати по аналогії.
Спроба входу — запис в журнал — аналіз журнала — результат.
Самий примітивний приклад для підбору паролів.
У разі неправильного пароля робимо в журнал запис «time() - ip». Кожні 10 хв аналізуємо журнал на кількість однакових ip за добу. Бачимо, що хтось за добу три рази неправильно ввів пароль — запис в .htaccess «Deny from $ip». Пара змін ip і вася кладе на той підбір, бо недоцільно.

[Don Kihot]

Цитата

Самий примітивний приклад для підбору паролів.
У разі неправильного пароля робимо в журнал запис «time() - ip». Кожні 10 хв аналізуємо журнал на кількість однакових ip за добу. Бачимо, що хтось за добу три рази неправильно ввів пароль — запис в .htaccess «Deny from $ip». Пара змін ip і вася кладе на той підбір, бо недоцільно.

це найвдаліший приклад як НЕ має працювати система захисту від брута

По-перше, за 10 хв можна вже набрутити 100500 паролів, або навіть загнати в глибокий свап сервак зі всіма витікаючими.
По-друге .htaccess не місце для блеклісту, при нормальному девелопмент воркфлоу .htaccess має наново прилетіти з системи контролю версій при деплої (або згенеруватись в процесі деплоя). А ще на кожну спробу підбору пароля буде форкатись інстанс апача зі всіма модулями щоб казати 403 - зайва розтрата ресусів.

Якщо нема можливості реалізувати провірку на стороні аплікейшина - один з хороших варіантів натравити fail2ban на аналіз логів апача з фільтром URL сабміта пароля, таким чином трафіку від брутфорсера буде дропатись ще на рівні ядра і не попадати в юзерспейс (апач)

[Sir_Lyoshyk]

Захист від перебору мається на увазі через форму входу чи в зловмисника ваша БД в руках?

[Mr_RAS]

через форму

[Sir_Lyoshyk]

на стороні форми робимо підрахунок кількість навдалих спроб підряд і після 3-ї (по хорошому) блокуємо вхід для цього користувача та із цієї іп-адреси (бо ж справжній власник теж захоче увійти звідкісь) на 1, 3, 5 хв. і так далі по наростаючій... Знадобиться зовсім трохи коду щоби це реалізувати...
Ну і додати повідомлення в адмінці коли в користувача змінюється ІП-адреса входу.

Під час нарізання банів потрібно ще й думати про користувача аби не перестаратися, типу бан на сутки після 1-го неправильного... Йому якось треба ж зайти...

[Mr_RAS]

а якщо так: 5 невдалих спроб і з'являється капча
потім якщо 5 невдалих спроб з капчею блокування логіну на 10 хв

[selb]

Цитата:

Допис від Don Kihot

це найвдаліший приклад як НЕ має працювати система захисту від брута
... один з хороших варіантів натравити fail2ban на аналіз логів апача з фільтром URL сабміта пароля, таким чином трафіку від брутфорсера буде дропатись ще на рівні ядра і не попадати в юзерспейс (апач)

Який fail2ban, які логі? Мова про звичайний хостинг.
А частота перевірки обмежується лише можливостями крона.

Цитата:

Допис від Sir_Lyoshyk

на стороні форми робимо підрахунок ...

Взагалі-то на стороні форми не варто робити жодних серйозних перевірок — їх можна обійти.

Цитата:

Допис від Mr_RAS

а якщо так: 5 невдалих спроб і з'являється капча
потім якщо 5 невдалих спроб з капчею блокування логіну на 10 хв

Це вже як фантазія спрацює.

[Sir_Lyoshyk]

Цитата

Взагалі-то на стороні форми не варто робити жодних серйозних перевірок — їх можна обійти.

На стороні коду форми не html, а бекенду (хто форму генерує і опрацьовує відповідь)... Перевірки на стороні користувача то чиста косметика...