Как правильно хешировать пароли в высоконагруженных сервисах. Опыт Яндекса
Я расскажу о такой проблеме, как хеширование паролей в веб-сервисах. На первый взгляд кажется, что тут все «яснопонятно» и надо просто взять нормальный алгоритм, которых уже напридумывали много, написать чуть-чуть кода и выкатить все в продакшн. Но как обычно, когда начинаешь работать над проблемой, возникает куча подводных камней, которые надо обязательно учесть. Каких именно? Первый из них — это, пожалуй, выбор алгоритма: хоть их и много, но у каждого есть свои особенности. Второй — как выбирать параметры? Побольше и получше? Как быть с временем ответа пользователю? Сколько памяти, CPU, потоков? И третий — что делать с computational DoS? В этой статье я хочу поделиться некоторыми своими мыслями об этих трех проблемах, опытом внедрения нового алгоритма хеширования паролей в Яндексе и небольшим количеством кода.
Прежде чем переходить к алгоритмам и построению схемы хеширования, надо вообще понять, от чего же мы защищаемся и какую роль в безопасности веб-сервиса должно играть хеширование паролей. Обычно сценарий таков, что атакующий ломает веб-сервис (или несколько веб-сервисов) через цепочку уязвимостей, получает доступ к базе данных пользователей, видит там хеши паролей, дампит базу и идет развлекаться с GPU (и, в редких случаях, с FPGA и ASIС).
Читать дальше →
Attacker & Defender
Прежде чем переходить к алгоритмам и построению схемы хеширования, надо вообще понять, от чего же мы защищаемся и какую роль в безопасности веб-сервиса должно играть хеширование паролей. Обычно сценарий таков, что атакующий ломает веб-сервис (или несколько веб-сервисов) через цепочку уязвимостей, получает доступ к базе данных пользователей, видит там хеши паролей, дампит базу и идет развлекаться с GPU (и, в редких случаях, с FPGA и ASIС).
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Идея — Proof-of-Work «почтовая марка» для email: три заголовка против спама
- Автоматизация криптографических операций: Реализация визуализации электронной подписи в PDF на C#
- Тайные битвы на фронтах ИБ: DLP против стеганографии
- Яндекс запускает биржу телеграм-каналов
- Андрей Терехов и Рейтинг Рунета выпустили чек-лист хорошей рекламной кампании
- Угнать «телегу» за 60 секунд: лайфхаки по противодействию мошенникам от социального инженера
- Giftery: Почему сотрудники саботируют автоматизацию — и как внедрить её без конфликтов
- Безопасная разработка как игра в Dungeons & Dragons
- DOT Digital Agency: Новый облик Очёрского машиностроительного завода
- HackTheBox Labs (Starting Point) — Exploison