Взлом пользователя

[bartle96]

Всем привет!

Вот сидел и делал капчу для авторизации на сайте
При неудачной авторизации более 3 раз пользователю предлагается обязательно вводить капчу
И она проверяется на сервере
Но вот в чем вопрос

При удачной авторизации
id пользователя и мд5 пароля сохраняется в coockie
То есть кто то может перебирать мд5 пароля и авторизоваться на сайте без каких либо капч
Скажите как можно уберечься от этого?
Заранее спасибо!

[danik.js]

Сообщение от bartle96

Скажите как можно уберечься от этого?

А зачем хранить в куках хэш пароля? Ограничивай число попыток с одного IP-адреса. А ты разве не так делал?

[bartle96]

Сообщение от danik.js

А зачем хранить в куках хэш пароля?

А как сервер будет понимать что эта за пользователь?
После авторизации в cookie попадает id пользователя
А пароль чтобы кто то просто в куки не поставил любой id

[Deff]

А IP

Сообщение от bartle96

То есть кто то может перебирать мд5 пароля и авторизоваться на сайте без каких либо капч

1. Время полного перебора - при нормальной длине мд5 столетия
При очередном входе кук другой,
Посколь при новом входе в куке кодируется время очередной авторизации
2. Есть варианты с ограничением действия кука, к примеру в 15-30 мин при неактивном пользователе, т.е активный получает - новый кук, неактивный более 30 мин, кук снимаем,

[bartle96]

Спасибо, я понял)
Особенно рад был слышать:

Сообщение от Deff

Время полного перебора - при нормальной длине мд5 столетия

Сообщение от Дзен-трансгуманист

надо записывать случайный ассоциативный ключ

Длинный мд5 пароля и будет выполнять данную функцию

Сообщение от Deff

при нормальной длине мд5

А нормальный это сколько? 21 хватит?

[bartle96]

Все теперь все ясно
Спасибо за внимание