Как работает защита от восстановления пароля в современных веб-системах?

Защита от восстановления пароля в современных веб-системах работает за счёт использования алгоритмов хеширования. www.vrsystems.ru habr.com

Пароли пользователей хранятся в закодированном виде: от пароля вычисляется необратимая функция. habr.com Проверить пароль можно, вычислив от него такую же функцию, но восстановить исходный пароль невозможно. habr.com

Некоторые методы защиты:

• Атака по словарю. www.vrsystems.ru Вычисляются хэш-значения для каждого из слов словаря или модификаций слов словаря и сравниваются с хэш-значениями паролей пользователей. www.vrsystems.ru При совпадении хэш-значений пароль найден. www.vrsystems.ru
• Последовательный перебор всех возможных комбинаций. www.vrsystems.ru Используется набор символов, и вычисляется хэш-значение для каждого возможного пароля, составленного из этих символов. www.vrsystems.ru
• Гибрид атаки по словарю и последовательного перебора. www.vrsystems.ru К каждому слову или модификации слова словаря добавляются символы справа и/или слева. www.vrsystems.ru

Кроме того, для защиты восстановления пароля часто используют уникальные токены сброса, которые часто шифруются и предназначены для одноразового использования. www.vaadata.com

Также для защиты могут применяться меры против атак грубой силы или спама запросов сброса, например, ограничение числа авторизованных запросов или реализация капч. www.vaadata.com