например?о переборе тысяч слов или проход в несколько страниц по дереву индексов
действительно
о чем это?
(Добавление)
http://php.net/manual/ru/functio....crack-check.php

а функционал важный кабэ

Главное отличие, что проверяются всякие паттерны типа повторяющихся символов и т.п., и то, что по словарю ищутся части пароля. Иначе, если делать тупо поиск по базе, пароль типа coolhacker спокойно пройдет проверку.


Тысячи слов в памяти - это быстро. Индексы тут не такой большой выигрыш дадут. Не даром же оптимизаторы базы сами порой решают, что фул скан выгоднее. А учитывая, что такие проверки происходят редко (это тебе не база в 1000rps) - выигрыш вообще копеечный. Так что действительно не о чем.

Но если все же по теме.

Словарь cracklib индексирован.


Такая приписка там почти у всех модулей, которые не включены в основной пакет. Так что не повод пугаться.

в целом убедил только вот....
базовый словарь при установке 100 000 слов
ни один оптимизатор не выберет тут фулскан
не говорю о том что оптимизатор может просто быть не прав
не ахти какой сложный алгоритм проверять части пароли
а всякие более сложные алгоритмы типа например разбиение на слоги и перекомпановка в новые слова оно вообще не надо

Оно, как я говорил выше - вообще не надо )) Но если хотят рвать волосики на попке, то пусть делают.

Если интересно, то можно полезть в исходники JS либы zxcvbn. Там вроде есть несколько проверок на клавиатурные последовательности, даты и прочее в паролях

Я к тому, что индекс в обычной СУБД тут никак помочь не сможет ;) Ибо что бы найти слово по словарю в базе - его сначала нужно выделить из пароля, а для этого нужен... словарь ;)

сам понял что сказал?))
индекс cracklib тут тоже никак не может помочь
в случае бд - бд и есть словарь
и искать придется все части пароля, что по бд, что в cracklib
индексация какбэ так и работает
берется первый символ - находится страница первого уровня - находится страница второго уровня по второму символу итд
(Добавление)
а вообще я, наверное в силу своей дремучести, предпочту поиск по бд(и частей пароля тоже)
хотя бы потому, что это полностью в моем контроле
например могу контролировать длину слов итд итп

Индекс помочь не может. А вот эвристика + индекс - может.
Это не совсем поиск словарных слов в пароле. Это его упрощенный вариант. Например "откусили пару символов спереди и проверили".
Конечно, далеко от идеала, но много лучше чем просто прогон по базе.
Df4hacker: it is based on a dictionary word
ddkhacker: it is based on a dictionary word
dhelhacker: OK
Четыре символа перед словарным словом уже не ловит.
Если интересно, скачайте cracklib, там основная функция проверки (FascistCheck) лежит в lib/fascist.c - там эти паттерны описаны.

В принципе не проблема портировать этот алгоритм на PHP, но будет много медленнее. И из-за ПХП, и из-за SQL (парсер SQL откушает думаю так 90% всего времени исполнения запроса в базу).

Если для вас оправдано сместить фокус с удобства на безопасность - не позволяйте пользователю выбирать пароль вовсе. Генерируйте его сами и ставьте пользователя перед фактом.
Пароль типа "qazwsxedcrfvtgbyhn" несмотря на свою простоту значительно более криптостойкий, чем словарное слово общеупотребительной лексики.

Плюс шаг обратно к пользователю - опция "я понимаю что делаю и связанные с этим угрозы информационной безопасности, дайте мне установить пароль самому"