Originally posted by irqsx:
Все понятно, не заметил что форум обрезал пороль до 13 символов.
Ну вот! А я уже писал об этой проблеме. Если у юзера нет доступа к почте и он сменит пароль на 14символьный (а форум даст это сделать) - то прощай аккаунт. Нужно хотя бы уведомить об этом юзера при смене пароля текстом или расширить до 64х символов, к примеру. Больше вряд-ли кто-то наберет. Кстати, все пароли до 12-13 символов считаются небезопасными
Не выдерживают подбора современным спектром методов (брут, словарь, р.таблицы), если хеш украден. А такое случается (серваки имеют свойство ломаться). Надеюсь они хранятся у вас там все в виде посоленных хешей?
Если учесть что у нек-рых юзеров один пароль на всё.. . То утечка хешей может привести к куда более печальным последствиям, чем просто доступ к аккаунту на ганзе.