Логика авторизации JohnCMS

да какая разница какая авторизация, главное что бы браузер сохранял логин и пароль в формах ввода

# L!MP (25.12.2016 / 13:08)
Хотя не, брутфорс хеша это вообще не вариант.
Да же 8-ми битный хеш состоящий только из букв латинского алфавита, это 26^8, т.е более 208-ми миллиардов комбинаций.
Допустим мы имеем возможность отпр

Ну я пошел твой пароль брутить

# Delphinum (25.12.2016 / 12:36)
Тут никто не предлагает отказаться от логина/пароля в пользу одного только пароля и логин/пароль это не двуфакторная.

эм....

Материал из Википедии — свободной энциклопедии
Многофакторная аутентификация (МФА, англ. multi-factor authentication, MFA) — расширенная аутентификация, метод контроля доступа к компьютеру, в котором пользователю для получения доступа к информации необходимо предъявить более одного «доказательства механизма аутентификации». К категориям таких доказательств относят:

Знание — информация, которую знает субъект. Например, пароль, пин-код.
Владение — вещь, которой обладает субъект. Например, электронная или магнитная карта, токен, флеш-память.
Свойство, которым обладает субъект. Например, биометрия, природные уникальные отличия: лицо, отпечатки пальцев, радужная оболочка глаз, капиллярные узоры, последовательность ДНК.

# PaRtiZzaN (25.12.2016 / 16:48)
Ну я пошел твой пароль брутить

могу попозже персонально скинуть свой хеш (не с джона) из куки, и сид за одно)
это бесполезно, не сбрутить, и не подцепить чужую сессию) как минимум к сессии надо иметь тот же айпишнег, а хеш это набор порезанных и замененых кусков хеша, на основе пароля, соли, браузера, ипа, порезанного хеша пароля и порезанного хеша всего этого говно)))
да будет ад в машине у брутфорсера)))

# ramzes (25.12.2016 / 19:25)
эм....

"доказательство механизма аутентификации" это на пример: логин/пароль; телефон/код; email/код; и т.д. Один только пароль тоже может быть полноценным механизмом аутентификации, точнее идентификации, на основании которого выполняется аутентификация, но я не об этом.