Сайт: неверный логин или пароль Я: так логин или пароль?! Сайт: А вот это явно не моя проблема / регистрация :: мем

Подробнее
Сайт: неверный логин или пароль Я: так логин или пароль?! Сайт: А вот это явно не моя проблема
мем,регистрация

Еще на тему

мем(22029)

Развернуть

Отличный комментарий!

Это сделано специально, чтобы нельзя было подбирать логины. Правда в большинстве мест - это чисто карго-культ, потому что логины итак совпадают с видимыми везде юзернеймами.

wataru30.03.202416:50ссылка

+41.0

Комментарии 3330.03.202416:47ссылка54.0

И вообще данный пароль уже занят, попробуйте другой.

Rikamah 30.03.202416:50 ответить ссылка 19.0

меняешь пароль - новый пароль не должен совпадать со старым.

Haruka25 30.03.202417:13 ответить ссылка ↑ 15.0

Error
Этот пароль уже использует starboy98. Попробуйте другой.

reiter 30.03.202417:27 ответить ссылка ↑ 36.6

wataru 30.03.202416:50 ответить ссылка 41.0

Эмм, нет, это просто намёк на то, что пользователь мог ошибиться в написании логина.
Ну просто сайт не может определить, правильно ли юзер написал свой логин, так как он и определяет юзера по логину. И пароль он сравнивает с логином, а не наоборот, так что ему изначяльно всё равно, правильный ли у тебя пароль, или нет.
Подбирать логины по паролю менее оправдано, чем пароли по логину. А базу логинов как правило можно подбирать при регистрации, ловя "извините, данный логин уже занят"

ViAyayay 30.03.202417:49 ответить ссылка ↑ 1.2

"А базу логинов как правило можно подбирать при регистрации"
Так вот какая падла заняло мой любимый ААА111.

Lucheg 30.03.202417:54 ответить ссылка ↑ 1.2

Нет же, сначала можно отгадать логин, пока ошибка не сменится с "неправильный логин" на "неправильный пароль", а потом уже перебирать пароли из базы данных самых популярных паролей. Если логин неизвестен и ошибка не говорит, что у вас не так - логин или пароль - то это дополнительный уровень безопасности. Перебирать приходится на много порядков большое вариантов.

wataru 30.03.202418:26 ответить ссылка ↑ 5.3

Я для кого написал, что проверить наличие логина в базе можно при регистрации?

ViAyayay 30.03.202420:26 ответить ссылка ↑ 0.1

> Подбирать логины по паролю менее оправдано

Ты не понял. Вначале не логин по паролю подбирают, а в принципе проверяют есть ли такой логин в базе. Т.е. это первый шаг. Если же бакенд отвечает "или логин или пароль неверны", то ты так и не узнаешь этого.

faiwer 30.03.202418:35 ответить ссылка ↑ 0.3

Я для кого написал, что проверить наличие логина в базе можно при регистрации?

ViAyayay 30.03.202420:25 ответить ссылка ↑ 1.7

Ну обычно оправдывается введение этой фичи как раз против подбора пароля под логин. Да, часто через регистрацию можно и так чекнуть логин, но это не рассматривается в рамках этой задачи.

alex_tsema 30.03.202422:31 ответить ссылка ↑ 0.0

$Вход Неверый логин и/или пароль! Логин: \л^аги Пароль: .... Забыли пароль? ВОЙТИ$

empiro 30.03.202418:51 ответить ссылка ↑ 1.7

Ну да, на многих сайтах это карго-культ, потому что логины итак известны.

wataru 30.03.202418:52 ответить ссылка ↑ 3.1

что мешает опечататься в логине, но при этом ввести правильный пароль?

john boe 30.03.202422:47 ответить ссылка ↑ 3.2

Много где вход не по юзернейму, а по email.

Trallolo 30.03.202419:15 ответить ссылка ↑ 0.1

Нет, это потому что проверка на существование такого аккаунта с таким паролем делается одним запросом в БД. Типа (упрощенно) "дай мне юзера с таким логином И таким паролем". Если вернет 0 записей, значит "неверный логин ИЛИ пароль".

sprspr 30.03.202420:51 ответить ссылка ↑ 1.3

Вообще мимо. Уже очень давно проверка делается так: 1) получить из БД соль и хеш пароля для данного пользователя, 2) с этой солью захешировать пароль, 3) сравнить с хешем из базы.

Но даже без соли все равно элементарно проверить, что неверное - логин или пароль. Запрашивать надо хеш из БД, если вернулось 0 записей - ошибка в юзернейме, иначе надо сравнить хеш. Все так же один запрос к БД.

wataru 30.03.202421:07 ответить ссылка ↑ -0.2

Чувак, отдельно соль и хэш уже давно не хранят, потому что используют bcrypt или argon2. Поэтому и проверка делается одним запросом, как я описал выше. Тем более что в 99.99% случаев юзеру не нужно выдавать две отдельные ошибки, а достаточно одной.

sprspr 30.03.202421:20 ответить ссылка ↑ 0.7

Глупость. От того, что соль хранится в том же поле, что и хеш, как в bcrypt, ничего не меняется. Соль все также есть. И она все также передается на вход функции хеширования. Не получив ее из базы вы никак по пользовательскому паролю хеш не посчитаете, чтобы его использовать в запросе. Проверка, действительно делается одним запросом, ибо и хеш и соль можно получить за сразу, даже если они хранятся в разных полях. И никаких принципиальных проблем с проверкой на неправильный логин это не создает.

wataru 30.03.202421:47 ответить ссылка ↑ 0.4

Сорри, ты прав, я затупил чего-то. Нужно сначала взять сам хэш, а потом сверить его с введенным паролем, где и будет использоваться соль сохраненная в хэше.

sprspr 30.03.202423:13 ответить ссылка ↑ 0.3

Это если ошибочного логина не существует, но если пользователь wStaru существует, то ошибка по такой логике будет неправильный пароль, хотя пользователь ошибся как раз с логином.

Еретик 31.03.202403:32 ответить ссылка ↑ 0.9

Ну это все-таки редкость и ко всем пользователям не применимо. И вообще, может ползователь опечатался в адресе и зажел не на тот сайт. Что тогда, писать "неправильный логин или пароль или сайт"?

wataru 31.03.202412:33 ответить ссылка ↑ -0.6

Как в старинном анекдоте, для порносайтов - да!

А по факту сайты отличаются по оформлению, поэтому спутать сильно сложнее, если это не фишинг, но там явно предупреждать не будут. А вот логины на достаточно крупных сайтах, особенно где бывают баны и набеги ботов - часто выбраны очень плотно.
Вполне логично и просто просить пользователя перепроверить введенные данные.

Еретик 31.03.202413:31 ответить ссылка ↑ 0.0

Сайт: Да.