Какие пароли (и производные от них) нельзя использовать : Операционные системы и программное обеспечение

Доброго времени суток.
Данный пост может быть и не интересен, и не познавателен.
Но я все же напишу, вдруг кому пригодиться.
Все знают что есть статистика -самых простых паролей (admin, 1234 и тому подобные)
Но есть и другие пароли, которые более сложны. но их применение не безопасно. Почему ? да потому что существует база расшифрованных хэшей.
И даже если ваш пароль к примеру кажется не так уж и прост, но извлечение этого пароля из хэша, имея даже простой ПК, правильные утилиты, и пара команд, займет не более 30 минут.
Нет не потому что вычислительная мощь будет такой сильной, или "хацкер" изобрел некий алгоритм который крушит любые хэши на "калькуляторе" все дело в том, что эти пароли давно расшифрованы "супер компьютерами"- это не компьютеры в Пентагоне или еще где то, это скорее более менее мощные Пк обьедененные для одной задачи взлом хэшей.
Представляю вашему вниманию не большой список паролей, которые ни в каких обстоятельствах не стоит использовать (даже если ваш пароль отличается на 1-2 символа от приведенных, это тоже критично, так как основная часть пароля давно известна)

в приложении архив в нем текстовый документ.
Да и это список который давно не обновлялся, и получит ьего в принципе при желании может каждый, я молчу про те пароли которые лежат закрома у тех кто занимается перебором хэшей

Вложения

pass.rar (4.32 Мб, 100 просмотров)

когда речь заходит о хеш базах паролей я всегда задаюсь вопросом: Что, прям вот все используют тупо в лоб конструкцию что я ниже привёл??? Что не хватает фантазии добавить "соли" ?
Что не хватает фантазии добавить "соли" ?

это самый простой способ. Если хочется чуть глубже, то [ вот тут ] есть немного для затравки.

Ещё подробнее [ тут ]. Но на английском.

Как давно ты в последний раз заглядывал в исходники свежих CMS и e-Commerce решений? Там порой такие конструкции для генерации хешей, что обновление между мажорными версиями без потери пользовательских паролей не возможно в принципе.

Например, вот такая конструкция в OpenCart 2.2.1:

Вообще не заглядывал. Меня удивляют темы с базами хеш паролей. Про методы работы с хешами я и так знаю. кстати, раскритиковать приведённую конструкцию как 2 пальца об асфальт....

Раскритиковать можно что угодно. Это был ответ на возмущение про соль с приведением первого попавшегося под руку куска кода.

Сей первый "попавший под руку" код - выдало моё воображение в качестве элементарнейшего примера практически полной без полезности готовых хеш баз.

я вообще хотел написать про обычных пользователей, чьи пароли кодируются так как это настреоно на ресурсе, в большинстве случаев используется именно эта простая конструкция, поэтому и написал что такие пароли вообще не безопасны.
к тому же некоторые ресурсы вообще их не шифруют.
к примеру вроде бы и ресурс посещаемый, а у некоторых сотрудников пароли просто смех

суть моего поста была в том как пользователю имея то что имея не допустить доступ к его данным - или усложнить максимально

Миниатюры

 

а нефиг использовать один пасс на всех ресурсах... для всяких временных регистраций у меня есть пара-тройка паролей, которые я и использую. Что касается мало мальски важных паролей будь то основная почта или работа - тут каждый пасс уникальный.

у меня мног опаролей где одинаковых - но они 16 и более сиволов с разными регистрами
Micle написал правильно про то как обезопасить ресурс от потенциального взлома, но twix написал то как обстоят дела в интернете в общем
Micle рассмотрел ситуацию как потенциальный администратор - и попытался солью защить свой ресурс
twix - смодулировал код, который распостранен в 90% ресурсов
Пароли от платных подписок и пр здесь пароль с солянкой - пришлось потратить 8-9 часов но все же
суть темы к тому что бы пользователи пытались заводить правильные парлльи
и Micle правильно написал -
думаю к утру будет готова новая подборка паролей которые не нужно использовать и бесплатые базы хэщей тут не причем
(PS в окошке такое бы не получилось)