mais ai é que estar professor , tem como converter uma hash por outra por exemplo o handshark por exemplo do arquivo cap , na internet tem como converter pra diversas hash md5 sha sha1 etc....
│O ASPNET Core Identity usa o algoritimo PBKDF2 com HMAC-SHA256. Um salt de 128 bits, uma subchave de 256 bits e 10.000 iterações. Apesar de não ser listado pelo OWASP é o único FIPS compliance. Apesar de muitos especialistas questionarem o FIPS. Mas é uma decisão de estratégia. Um papo que podemos bater em outro video!
Cara, eu fui pesquisar meu email no Google e ele apareceu em primeiro em um site chamado hashkiller. Eu queria saber o que isso significa, cliquei pra entrar no site e começou a baixar algo que cancelei na hora, oq significa isso? N foi o email deste canal q estou comentando, só queria saber oq é isso
Eles criam arquivos com emails e senhas ja capturadas ou quebradas de bilhões de usuarios do mundo. Claro que nossos e-mails e alguns dados pessoais vão estar neles... kkkkk
Se o seu problema é evitar brute force é possível trancar o login do usuário por algum determinado período caso ele tenha tentado inserir N vezes a senha incorreta, com isso esse tempo para descobrir a senha vai para os milhões de anos. Caso vc não queira liminar a quantidade de tentativas é possível fazer o hash mais de uma vez. Aplica o hash do hash N vezes, dessa forma o paralelismo necessário para quebrar a senha tbm vai tender aos milhões de anos e um custo inviável.
Boa Fernando! Mas suponho que essa sua premissa de "bloquear o login" parte do principio que ele está fazendo brute force com uma aplicação online. Para esses casos, como vc bem disse colocar um block de tentativas ou um rate limit já é o suficiente. Mas o maior problema é quando a sua base de dados foi parar nas mãos do atacante, ai o céu é o limite. Quanto mais grana investido em GPU, mais eficiente será o brute force.
vcs vao publicar algum curso na plataforma sobre esse tipo de autenticação, armazenamento de senha de maneira correta?
po o cara nao gosta de um bom chá, kkkkk, vivendo e aprendendo com os melhores, parabéns
kkkkkkkkkkkkkkkkkkk Chá só se for com minha vó e bolacha maizena!
ótimo, menos de 8min e traz um conteúdo realmente relevante, parabéns pelo vídeo
Muito bom! Aguardando o próximo vídeo!
Bruno sempre com conteúdos maravilhosos
mais ai é que estar professor , tem como converter uma hash por outra por exemplo o handshark por exemplo do arquivo cap , na internet tem como converter pra diversas hash md5 sha sha1 etc....
altos conhecimentos., obrigado.
Muito interessante
Fera demais!!
Boa Bruno! Qual o algoritmo que o Identity usa? Obrigado pelos vídeos!
│O ASPNET Core Identity usa o algoritimo PBKDF2 com HMAC-SHA256. Um salt de 128 bits, uma subchave de 256 bits e 10.000 iterações. Apesar de não ser listado pelo OWASP é o único FIPS compliance. Apesar de muitos especialistas questionarem o FIPS. Mas é uma decisão de estratégia. Um papo que podemos bater em outro video!
Sempre um show de conhecimento com muita descontração, parabéns pra você e pra equipe!
Muito bom!
Top!!!
porra, me surpreendi com o video... bom msm
Será que ja conseguiram quebrar a senha do bd da Odebrecht?
Cara, eu fui pesquisar meu email no Google e ele apareceu em primeiro em um site chamado hashkiller. Eu queria saber o que isso significa, cliquei pra entrar no site e começou a baixar algo que cancelei na hora, oq significa isso? N foi o email deste canal q estou comentando, só queria saber oq é isso
Eles criam arquivos com emails e senhas ja capturadas ou quebradas de bilhões de usuarios do mundo. Claro que nossos e-mails e alguns dados pessoais vão estar neles... kkkkk
5:40 até o cadeado ser mais caro do q ele guarda
Se o seu problema é evitar brute force é possível trancar o login do usuário por algum determinado período caso ele tenha tentado inserir N vezes a senha incorreta, com isso esse tempo para descobrir a senha vai para os milhões de anos.
Caso vc não queira liminar a quantidade de tentativas é possível fazer o hash mais de uma vez. Aplica o hash do hash N vezes, dessa forma o paralelismo necessário para quebrar a senha tbm vai tender aos milhões de anos e um custo inviável.
Boa Fernando! Mas suponho que essa sua premissa de "bloquear o login" parte do principio que ele está fazendo brute force com uma aplicação online. Para esses casos, como vc bem disse colocar um block de tentativas ou um rate limit já é o suficiente. Mas o maior problema é quando a sua base de dados foi parar nas mãos do atacante, ai o céu é o limite. Quanto mais grana investido em GPU, mais eficiente será o brute force.