Gets komen in de server logs, iets wat je absoluut niet wilt hebben. On Oct 8, 2013 12:20 AM, "Chris Wesseling" <chris.wessel...@cwi.nl> wrote:
> On 2013-10-07T18:45:23+0200, Niels Bom wrote: > > De suggesties van Reinout en Wichert zijn goed, en ik denk ook dat het > een > > goed idee is om in ieder geval een kleine woordenboek-achtige > woordenlijst > > te gebruiken. > > Lijsten met voornamen zijn wel te vinden. > Concatenaten met je OpenTaal woordenlijst en dan verhaspelingsalgoritmen > eroverheen laten gaan. > > Vroeger wel 'John the Ripper' daarvoor gebruikt. Daar had ik een ruleset > met geboortedatum en keyboard shifts etc. bij. > Nu zou ik naar iets als het pwtools-package kijken. > > > Bij gebruik van een te grote lijst wordt het volgens mij weer een gedoe > om > > dat naar de client te sturen (veel MB) en efficiënt met een algoritme > door > > die lijst te ploegen en patronen te genereren. Ik zou dan die check ook > > server side kunnen doen maar dan loop je herhaaldelijk potentiële > > wachtwoorden naar de server te sturen, en dat is niet echt POST, maar je > > wil het ook niet in een GET doen. Een tweede argument tegen een grote > lijst > > is dat je met een relatief kleine lijst al een groot deel van de slechte > > wachtwoorden eruit kan vissen, omdat veel mensen simpelweg toch hetzelfde > > doen. > > Waarom wil je het niet in een GET doen? Het is toch een idempotente, > veilige vraag. "Ik heb tot nu to dit als wachtwoord. Server, jongen, wat > vind jij daarvan? Is het wat?" > > Elke keer dat je dezelfde string aanbied, zul je hetzelfde antwoord > krijgen. > > Dit lijkt me bij uitstek een GET ajax call, analoog aan auto-complete. > Goed te cachen. > > En voordat je het aan de server voorlegt, kun je in de client nog > een simpele analyse doen: Gebruikt het wel boven- en onderkast letters, > numerieke en leestekens. Genoeg verschillende letters? Lengte. > > > -- > Chris Wesseling > Centrum Wiskunde & Informatica (CWI) > https://www.cwi.nl/people/ccw > > _______________________________________________ > Python-nl mailing list > Python-nl@python.org > https://mail.python.org/mailman/listinfo/python-nl > >
_______________________________________________ Python-nl mailing list Python-nl@python.org https://mail.python.org/mailman/listinfo/python-nl
