Может у него уже задача изменилась и он хочет оценить, какой сложности пароль подобрать реально, а какой - нет.

vovannovigEdd.DragonМожет у него уже задача изменилась и он хочет оценить, какой сложности пароль подобрать реально, а какой - нет.
Вот именно это теперь и интересно,сколько требуется времени,какими средствами...

Оригинальный пароль ведь не нужен если есть возможность заходить под другим который дает такой же хеш,а это уже 2й вариант развития событий...
В этом одна из задач алгоритмов хеширования. Стремящаяся к нулю вероятность коллизий.
Т.е. других паролей под такой же хеш - бесконечное множество. Но вероятность их найти - стремится к нулю.
Вот почему тематика не тривиальна и эти алгоритмы не плодятся каждый день новые.

Ты вот лучше скажи, сколько примерно нужно перебрать вариантов, чтобы подгадать пароль? И какой нормальный сайт позволит так себя "заддосить" подборщику паролей? Только если ты не предусмотрел блокировку после нескольких неправильных попыток угадать пароль некоторого пользователя.

Тогда другой вариант - злоумышленник получил ftp-доступ, стянул исходники, определил как у тебя там хешируется (какими алгоритмами в какой последовательности и с какой солью) и уже у себя воспроизводит эту последовательность сколько душе угодно. Но значит - у него есть и сам хеш, полученный из БД. Т.е. он имеет доступ к БД? Тогда он банально подменяет хеш на другой, если вообещ в этом еще есть смысл.

Т.е. внимание следует уделить в первую очередь защите доступа к файлам и БД. А так же блокировать многочисленные попытки авторизации (хотя бы на несколько минут, что напрочь перечеркивает возможность подбора).