sitehound
@sitehound

Восстанавливаемый генерируемый пароль

У меня есть идея, отголоски которой я встречал на Хабре в разделе шифрования. Идея такая. Создать закрытую форму, доступную только для клиентов, где клиент вводит имя пользователя, и ему автоматом генерируется пароль, который генерируется из имени пользователя. Например, он вводит pavel. Строка пропускается через пару алгоритмов и выдается ему сильный пароль типа xA7$6!v1. Если клиент потеряет пароль — сгенерит заново.

Насколько безопасна такая идея? Кроме того, что злоумышленники могли бы получить алгоритмы генерации пароля из имени, насколько велика опасность удачного получения имени из кода? Стоит ле делать нечто подобное?
  • Вопрос задан
  • 2664 просмотра
Решения вопроса 1
homm
@homm
И что, пароль никак не сменить, если злоумышленник его узнал?
Ответ написан
Пригласить эксперта
Ответы на вопрос 5
artyomst
@artyomst
Тут главное сделать сложный логин, типо D4^3fnbD#@fdsbseij#45@58*&@)(*kdfi
Ответ написан
Комментировать
LProf
@LProf
Итак, если я правильно понял вашу идею то желая получить доступ к аккаунту Павла мне нужно будет просто зайти и сгенерить новый пароль по слову pavel, правильно?
Ответ написан
uadeveloper
@uadeveloper
Ну то, что вообще кто-то догадается что у тебя такая система, не очень велика.

Но не безопасна, если человек догадается, то это может привлечь интерес к этому и он сможет зарегистрировать много акк-ов и разгадает твой алгоритм.
Ответ написан
zed91
@zed91
Почитайте алгоритм хэширования SHA-1. Вам нужно сделать что-то похожее и более легковесное. Главное, чтобы ваша функция генерации паролей не обращалась.
Хэш-функция обращается, если из хэш-образа можно восстановить исходный текст.

Кстати, в Windows пароли не хранятся физически. Когда вы указываете новый пароль система просчитывает хэш-образ и сохраняет его у себя. Когда вы вводите пароль для авторизации система считает хэш для введенного пароля и сравнивает со своим. Если одинаковые — то пароль правильный. И, если злоумышленник сломает место хранения паролей, то кроме хэш-образа он ничего не найдет. А из хэш-образа пароль восстановить невозможно, даже если тот в десятки раз больше самого пароля. Интересная, в общем, штука.
Ответ написан
ntkt
@ntkt
Потомственный рыцарь клавиатуры и паяльника
В качестве сугубо личного генератора паролей можно все, но всегда надо понимать:
1) Какова процедура «Incident response handling» для Вашего решения — что делать, если пришла лисичка и что-то подсмотрела
2) Пароль для системы аутентификации — это то, что знает мистер Х и не знает мистер Y. Без вариантов. Если кто-то знает алгоритм генерации пароля и угадает исходные данные, этот кто-то для системы — Вы.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы