И вообще данный пароль уже занят, попробуйте другой.
меняешь пароль - новый пароль не должен совпадать со старым.
Это сделано специально, чтобы нельзя было подбирать логины. Правда в большинстве мест - это чисто карго-культ, потому что логины итак совпадают с видимыми везде юзернеймами.
Эмм, нет, это просто намёк на то, что пользователь мог ошибиться в написании логина.
Ну просто сайт не может определить, правильно ли юзер написал свой логин, так как он и определяет юзера по логину. И пароль он сравнивает с логином, а не наоборот, так что ему изначяльно всё равно, правильный ли у тебя пароль, или нет.
Подбирать логины по паролю менее оправдано, чем пароли по логину. А базу логинов как правило можно подбирать при регистрации, ловя "извините, данный логин уже занят"
Ну просто сайт не может определить, правильно ли юзер написал свой логин, так как он и определяет юзера по логину. И пароль он сравнивает с логином, а не наоборот, так что ему изначяльно всё равно, правильный ли у тебя пароль, или нет.
Подбирать логины по паролю менее оправдано, чем пароли по логину. А базу логинов как правило можно подбирать при регистрации, ловя "извините, данный логин уже занят"
"А базу логинов как правило можно подбирать при регистрации"
Так вот какая падла заняло мой любимый ААА111.
Так вот какая падла заняло мой любимый ААА111.
Нет же, сначала можно отгадать логин, пока ошибка не сменится с "неправильный логин" на "неправильный пароль", а потом уже перебирать пароли из базы данных самых популярных паролей. Если логин неизвестен и ошибка не говорит, что у вас не так - логин или пароль - то это дополнительный уровень безопасности. Перебирать приходится на много порядков большое вариантов.
Я для кого написал, что проверить наличие логина в базе можно при регистрации?
> Подбирать логины по паролю менее оправдано
Ты не понял. Вначале не логин по паролю подбирают, а в принципе проверяют есть ли такой логин в базе. Т.е. это первый шаг. Если же бакенд отвечает "или логин или пароль неверны", то ты так и не узнаешь этого.
Ты не понял. Вначале не логин по паролю подбирают, а в принципе проверяют есть ли такой логин в базе. Т.е. это первый шаг. Если же бакенд отвечает "или логин или пароль неверны", то ты так и не узнаешь этого.
Я для кого написал, что проверить наличие логина в базе можно при регистрации?
Ну обычно оправдывается введение этой фичи как раз против подбора пароля под логин. Да, часто через регистрацию можно и так чекнуть логин, но это не рассматривается в рамках этой задачи.
Ну да, на многих сайтах это карго-культ, потому что логины итак известны.
что мешает опечататься в логине, но при этом ввести правильный пароль?
Много где вход не по юзернейму, а по email.
Нет, это потому что проверка на существование такого аккаунта с таким паролем делается одним запросом в БД. Типа (упрощенно) "дай мне юзера с таким логином И таким паролем". Если вернет 0 записей, значит "неверный логин ИЛИ пароль".
Вообще мимо. Уже очень давно проверка делается так: 1) получить из БД соль и хеш пароля для данного пользователя, 2) с этой солью захешировать пароль, 3) сравнить с хешем из базы.
Но даже без соли все равно элементарно проверить, что неверное - логин или пароль. Запрашивать надо хеш из БД, если вернулось 0 записей - ошибка в юзернейме, иначе надо сравнить хеш. Все так же один запрос к БД.
Но даже без соли все равно элементарно проверить, что неверное - логин или пароль. Запрашивать надо хеш из БД, если вернулось 0 записей - ошибка в юзернейме, иначе надо сравнить хеш. Все так же один запрос к БД.
Чувак, отдельно соль и хэш уже давно не хранят, потому что используют bcrypt или argon2. Поэтому и проверка делается одним запросом, как я описал выше. Тем более что в 99.99% случаев юзеру не нужно выдавать две отдельные ошибки, а достаточно одной.
Глупость. От того, что соль хранится в том же поле, что и хеш, как в bcrypt, ничего не меняется. Соль все также есть. И она все также передается на вход функции хеширования. Не получив ее из базы вы никак по пользовательскому паролю хеш не посчитаете, чтобы его использовать в запросе. Проверка, действительно делается одним запросом, ибо и хеш и соль можно получить за сразу, даже если они хранятся в разных полях. И никаких принципиальных проблем с проверкой на неправильный логин это не создает.
Сорри, ты прав, я затупил чего-то. Нужно сначала взять сам хэш, а потом сверить его с введенным паролем, где и будет использоваться соль сохраненная в хэше.
Это если ошибочного логина не существует, но если пользователь wStaru существует, то ошибка по такой логике будет неправильный пароль, хотя пользователь ошибся как раз с логином.
Ну это все-таки редкость и ко всем пользователям не применимо. И вообще, может ползователь опечатался в адресе и зажел не на тот сайт. Что тогда, писать "неправильный логин или пароль или сайт"?
Как в старинном анекдоте, для порносайтов - да!
А по факту сайты отличаются по оформлению, поэтому спутать сильно сложнее, если это не фишинг, но там явно предупреждать не будут. А вот логины на достаточно крупных сайтах, особенно где бывают баны и набеги ботов - часто выбраны очень плотно.
Вполне логично и просто просить пользователя перепроверить введенные данные.
А по факту сайты отличаются по оформлению, поэтому спутать сильно сложнее, если это не фишинг, но там явно предупреждать не будут. А вот логины на достаточно крупных сайтах, особенно где бывают баны и набеги ботов - часто выбраны очень плотно.
Вполне логично и просто просить пользователя перепроверить введенные данные.
Сайт: Да.
Я, перебирая уже сотый вариант без возможности по какой-то причине восстановить пароль: пизда...
Через гуглпочту зайди и все
данная почта уже используется, воспользуйтесь формой восстановления пароля
Ваш корпоративный аккаунт заблокирован системой безопасности, так как кто-то слишком много раз пытался ввести неправильный пароль (аж два раза).
Может тебе еще подсказать какой он должен быть длины и какие символы в нем можно использовать, наркоман проклятый?
Да, пожалуйста.
Там была буква "А"?
Там была буква "А"?
И чаще всего такая мутора с паролями на сайтах,на которые максимум 2 раза зайдешь
Чтобы написать коммент, необходимо залогиниться
Отличный комментарий!