Почему ваше имя пользователя и пароль не хешированы и не засолены? [закрыто]

-2

Поскольку общие ответы от имени пользователя и / или пароля при входе в систему ВСЕГДА возвращаются "Ваше имя пользователя или пароль неверны" из-за повышенной безопасности, то почему бы системам не хранить комбинацию имени пользователя и пароля, хэшированных. Ничто не требует от меня большего, чем незнание того, какое электронное письмо я использую, и необходимость пробовать другие, особенно когда могут быть МАКСИМАЛЬНЫЕ ограничения на длину пароля.

Glabella Streamline
источник

Ответы:

1

По той же причине мы не храним наши настоящие имена в секрете: они используются для нашей идентификации и могут использоваться совместно.

Цель состоит в том, чтобы уменьшить объем информации, которой может обладать потенциальный злоумышленник, не сообщая, работают ли они с существующим именем пользователя. Тем не менее, системы, которые используют сообщения типа «имя пользователя или пароль неверны», как правило, все еще так же уязвимы, как и системы без них. Формы регистрации (и иногда формы сброса пароля) сообщат вам, существует ли учетная запись или нет, поэтому очень просто определить, существует ли имя пользователя. Таким образом, этот подход может быть более неприятным для законных пользователей, чем для злоумышленников.

Кроме того, представьте, что вы пытаетесь найти друга на платформе, если его имя пользователя в незашифрованном виде не сохранено: вам нужно будет получить имя пользователя, правильное для каждого символа. Такая система была бы ужасно непрактичной. Наличие секретного имени пользователя было бы аналогично второму паролю, и есть гораздо лучшие способы защиты учетных записей, чем это.

VortixDev
источник