برخی از نوع هکر فقط SQL-تزریق وب سایت ما، گرفتن هش رمز عبور مدیریت. او را نیمی از روز به دست آورد تا بدون دانستن SALT (آن را بداند که ما از "sha256" استفاده می کنیم، زیرا opensource). در حال حاضر او قهرمان در چشم رئیس شد، در حالی که ما شبیه یک شوخی (او فقط مقدار کمی از دلار برای سرگرم کننده دریافت).
اکنون، بدیهی است، ما باید الگوریتم را به چیزی غیر قابل پیش بینی تبدیل کنیم و یک رمز عبور قوی مدیر، به غیر از پچ کردن سوراخ sql-injy.
چه چیزی برای هکرهای آینده برای شکستن گذرواژه معلق از حداقل 10 علامت ، نامعلوم الگوریتم و عامل / هزینه (برای او) است؟ فرض کنید آنها دارای 10-20 دستگاه قدرتمند ترک خوردگی (رایانه قوی با GPU خوب) هستند. یا چطور در مورد سازمان قوی نظیر NSA، LOL؟
P / S: من بسیاری از موضوعات مشابه مانند:
برآورد زمان برای شکستن کلمات عبور با استفاده از bcrypt
چگونه ما زمان برداشتن یک هش با استفاده از تکنیک های نیروی بی رحمانه برآورد کنیم
اما هنوز ، من هیچ نظری ندارم که چگونه آن را ارزیابی کنیم.
