1
бкрс
В связи с угрозой, что база рано или поздно (или уже) будет украдена, изменено шифрование паролей на современное (с md5 на bcrypt). Сейчас взломать пароль будет на несколько порядков сложнее, т.е. дольше, гораздо больше вероятность, что этого делать не будут, т.к. невыгодно.

В движке смена шифрования не предусмотрена, пришлось повозиться. Конвертация старых паролей тоже событие, важно не напортачить, чтобы все не потеряли доступ, и сам процесс долгий, т.к. новый метод намеренно медленный.

Есть вероятность, что база раньше была раньше украдена, в идеале стоит поменять свой пароль на новый.
2021.02.17
ЛС Ответить
2
dsx
2021.02.17бкрс изменено шифрование паролей на современное (с md5 на bcrypt). Сейчас взломать пароль будет на несколько порядков сложнее, т.е. дольше

Ну по сути оба алгоритма ничем не отличаются в плане безопасности, и долгота подбора коллизии не так долга на современных домашних супердевайсах. Также существуют базы готовых хешей для всех ключей от 0 до fff...f по которым ещё быстрее найти чем вычислять (у кого они есть, особо заинтересованы в решении одной из задач тысячелетия)
Если кто-то в прошлом мог заполучить базу с хешами, то мало просто сменить хеширование с одного стандартного на другой стандартный. Я бы сделал нечто нестандартное из стандартного, допустим берём несколько быстрых алгоритмов хеширования и один медленный, добавим  операций xor. Далее для каждого юзера генерируем строго уникальную последовательность/параллельность медленных и быстрых алгоритмов/операций. При таком подходе поиск по базам готовых хешей, их создание и содержание отпадают даже для обладателей сверхмощностей, и им будет выгодней идти другими путями.
Если коротко - это привнести нестандартное в стандартное.
ЛС Ответить
3
бкрс
dsx, по моему вы что-то путаете на счёт не отличается и готовых баз. Отличается сильно и готовых баз нет. Или скиньте ссылку на чём вы основываетесь.

Растущая мощность компьютеров означает быстрый перебор паролей, но время резко уходит в космос с увеличением сложности пароля. bcrypt всё ещё достаточно надёжен в этом плане, насколько я вижу, и в целом он все ещё рекомендуется.


Один из основных советов безопасности хранения паролей - не изобретать своих методов хеширования. Изучить доступные современные алгоритмы и использовать их, любая самодеятельность в лучшем случае будет выполнять ту же роль, что и увеличение повторов основного хеширования.
ЛС Ответить
4
бкрс
https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html

bcrypt уже не рекомендуют, но "терпимо", основной сейчас argon2.
ЛС Ответить
Ответить