В последнее время в изобилии взломов vbulletin мы модифицировали программную строку 3.8.x, чтобы использовать функцию password_hash () в PHP для большей безопасности. Я разработал код так, чтобы он преобразовывал пароль при повторном входе пользователя в систему (принудительный вход при следующем посещении). Проблема в том, что у нас много пользователей, которые давно не входят в систему, и мы хотим защитить их тоже. Мы разбираемся с идеей покупки / аренды некоторой большой мощности графического процессора и использования чего-то вроде hashcat для взлома, а затем преобразования наших паролей.
Из моего начального тестирования это работает довольно хорошо, пока вы не получите пароли из 7-8 символов (используя? A charset в hashcat). После этого процесс действительно замедляется до ползания. Есть ли реальная надежда сделать это с успехом, особенно с паролями большой длины? Если да, то какую силу мы должны надеяться получить? Все вместе, мы, вероятно, имеем около миллиона различных соленых счетов.
Эта идея даже осуществима?
Задача ещё не решена.
Других решений пока нет …