Ну, как сегодня дела обстоят по вопросам ТСа?


Ещё вот про пароли тоже интересует. Я тут новости иногда почитываю айтишные. То одна крупная контора упустила столько-то мильёнов паролей, то другая. Я чего-то не понял, они чего, не в зашифрованном виде пароли хранят? Ну забыл юзер - сгенерить для него новый пароль. А там пусть меняет на удобный свой старый. Главное, чтобы в БД в открытом виде не хранились.

А главное, я кроме якобы мифического удобства пользователей больше ничего не вижу, что могло бы быть в защиту открытых паролей. Даже если админ захочет в домашнем порноархиве какого-нибудь вконтактовца покопаться или ФСБшник чего узнать - вся инфа из БД и без паролей пользователей доступна.

Так почему же всё же все гиганты предпочитают сливать за бабки пароли юзеров на сторону хранить пароли юзеров в открытом виде?

Или там хеши утекают, и это преподносят как "слив паролей"? Тогда тоже непонятно - то ли недоверие к системам шифрования, то ли ещё чего. Прямо щас зарядят топ-10 суперкомпьютеров на подбор хешей паролей каких-то хомячков.

Вобщем, просветите нуба. По вопросам ТСа тоже.

Arm791) Хранение в открытом виде - это идиотизм. Или, политкорректно, недочеты в архитектуре. Или для удобства контор а-ля ФСБ/ЦРУ, так как пароли в массе своей на разных ресурсах везде одинаковые (если вы не параноик, это не значит, что за вами не следят)
2) Хеширование паролей - это стороны светлой джедая путь.
Так "для удобства контор а-ля..." как-то не очень за объяснение идёт. Для их удобства можно просто дать им доступ к БД напрямую или спецпросмотрщик написать - там делов-то с гулькин нос, для простого отображения данных из таблиц и их связей. Я имею ввиду, для таких больших контор, у которых пароли миллионами уводят. А вот давать пользоваться учётками юзеров (а иначе какой ещё смысл у "для удобства контор а-ля..."?) этим ФСБшникам, ИМХО, как раз плохо - они же там наследят, а ты потом доказывай юзерам, что это не они лайкнули порно, откомментили чего-то там и вот в эти группы по интересам вообще не вступали.

Arm79user7320,

пример: зарегился в игре под своим обычным логином и паролем. а этот логин и пароль пробивают, к примеру по почте Google.

Да, и про доступ к БД - с этим проблем нет ни у ЦРУ, ни у ФСБ.
Так я же не против того, что имеют доступ к БД. Я против того, чтобы регались за юзеров (а иначе зачем им знать их логин-пароль?) и чего-то там от их учётки делали - неважно, случайно или специально. Кроме наездов от органов надо ещё и об имидже печься, как-то некомпрометироваться. В ФСБ же тоже могут всякие вредители или просто... кхм... невнимательные люди работать. Нажмут не туда и потом опрывдывайся. Посему им - специнтерфейс, чтобы БД смотрели, но менять там чего-то без моего ведома не могли.

Ну и чтобы узнать, по какой почте регались, открытый пароль не нужен. Достаточно знать логин (а он всегда открытый) и почта регания сразу видна. Вобщем, все соответствия устанавливаются без открытых паролей.

Не вижу смысла открытых паролей. А в такую детскую дырку в безопасности таких больших компаний как-то не верю. Тем более, что эти же компании на своих ресурсах всех поучают, как надо создавать всякие БД и как хранить пароли. А сами этим советам не следуют. Тут какая-то причина должна быть.