| От | Tom Lane |
|---|---|
| Тема | Re: md5 again |
| Дата | |
| Msg-id | 1449.963335279@sss.pgh.pa.us обсуждение |
| Ответ на | Re: md5 again (Vince Vielhaber <vev@michvhf.com>) |
| Ответы |
Re: md5 again
|
| Список | pgsql-hackers |
Vince Vielhaber <vev@michvhf.com> writes:
> Simple dictionary passwords. Run them thru a script and compare the
> output.
I was under the impression we'd prevented that by use of a random salt
chosen on-the-fly for each login attempt ... have to go reread the
thread to be sure though.
In any case, if your threat model is a dictionary attack, what's to
stop the attacker from using a dictionary of likely usernames as well?
I still don't see much security gain from hashing the username.
regards, tom lane
В списке pgsql-hackers по дате отправления:
Сайт использует файлы cookie для корректной работы и повышения удобства. Нажимая кнопку «Принять» или продолжая пользоваться сайтом, вы соглашаетесь на их использование в соответствии с Политикой в отношении обработки cookie ООО «ППГ», в том числе на передачу данных из файлов cookie сторонним статистическим и рекламным службам. Вы можете управлять настройками cookie через параметры вашего браузера