Anton Kuzmichev, правильно ли я понимаю, что кроме перехода на личности, содержательных аргументов против того, чтобы не допускать попадание пароля на сервер даже при регистрации пользователя, у вас нет?
galaxy, Все три ваших "факта" будет видно при аудите безопасности - и короткую соль, и одинаковую соль, и слабую функцию.
Насчет ваших поздравлений. Хранилище паролей - это отдельная мера безопасности, которую может применять пользователь по своему желанию. Я же говорю о защите интересов тех пользователей, которые хранилищем не пользуются.
Daria Motorina, это не альтернатива, так как при использовании моего способа, лог попадает в инфраструктуру докера, откуда потом он может попадать в Кубернетис или еще куда-то
Смапив папку, вы просто получите персистентую свалку логов, а инфраструктуру - нет.
Anton Kuzmichev, вы смешиваете в кучу три атаки.
1) кража владельцем сервера пароля пользователя для использования его в своих целях
2) кража пароля третьей стороной в процессе MITM
3) онлайн-брутфорс пароля
От первого мы защищаемся, хэшируя и подсаливая пароль на клиенте (соль дает сервер). Вы грубо ошибаетесь, утверждая, что пароль и хэш тождественны. Располагая соленым хэшем, владелец сервера будет вынужден потратить много-много времени на восстановление из него пароля обратно. Разумеется, для хранения пароля у себя, он должен его посолить еще раз, но это уже защита от Евы, укравшей базу.
От второго мы используем HTTPS, без этого никак
Третье - это просто детская атака, достаточно настроить fail2ban.
xmoonlight, либо пусть ссылаются на рецензированные научные статьи по теме, либо в пусть идут в сад со своими выдумками. Но при этом, я бы хотел иметь перечень имен и компаний - для пополнения стоп листа.
xmoonlight, соленый хэш + злобная функция, которую тяжело считать, вроде bcrypt, практически закрывают эту проблему.
То есть, если мы говорим о подборе пароля "снаружи" сервиса - это очевидно легко детектируется и забанивается вместе с перебирающим.
Если же мы говорим о взломе сервера и угоне хэшей - если хэшей не будет совсем, злоумышленник получит все пароли сразу. Даже просто засунутые в md5 пароли уже потребуют от него минимальной квалификации, а сделанные "правильно (соль + злая функция)" - практически лишат шансов на успех.
