Зашёл, так как внятного ответа по мимо стандартных рекомендаций не увидел, тогда дам нормальный ответ.
Итак, для того чтобы понять какой пароль поставить, нужно понять как его взламывают. Начнём:
Как в наше время ломают странички, получают пароли или взламывают пароли?
1 - Фишинг - Самый наверное простой способ, но который требует изашрённой фантазии и некоторых навыков, встречал я фишинг почти везде в сети и некоторые массовые, лично почти не стал жертвой фишинга в Германии и мои друзья стали жертвами фишинга в Португалии.
В чём заключаеться фишинг? Всё просто, расскажу на примере того что произошло на этой недели в Португалии.
Первым делом, злоумышленник создаёт сайт, к примеру если оригинальный сайт банка = totta.pt, тогда злоумышленик создаст сайт типа tot1a.pt, или другие схожие варианты.
Так вот, они создали сайт, далее они отправили рандомные смс всем номерам которым могли, что-то в стиле:
Вы запросили перевод 310 евро на счёт ХХХХХХХ. Подтверждающий код ХХХХ. Если это были не вы, пожалуйста немедленно свяжитесь с нами по этой ссылке: tot1a.pt/безопасность_аккаунта.
Ну вот, люди переходят на страницу, в панике думают что их грабят... а на той странице их просят, пожалуйста залогиньтесь в систему, введя емейл и пароль.... именно так злоумышлинники получают ваш емейл и ваш пароль, ведь это не официальный сайт, а просто копия.
Такие смс я уже получал в германии, с Ебей.ком, который был совсем не ебейем. Также во все возможных чатах и тд.
2 - Слив базы. Как мы знаем для хранения данных, нам нужны базы.... в основном сайты хранят свои данные в базе данных MySQL. И по суте сейчас каждый второй программист... однако учат этих програмистов либо преподы по программе 60-тых годов, либо ученики этих преподов в онлайне... и получается что эти программисты идут работать в фриленс и делать сайты под заказ.... обещают что они профи, что они очень хорошо всё знают и в итоге всё работает... НО... работает это всё зачастую с устаревшими и небезопасными функциями. Каждый 3 сайт легко подвергаеться СКЛ иньекции, которая позволяет вытащить всю базу данных, а в некоторых случаях даже её удалить... а если нет бекапов, то востановлению база не подлежит.
Так вот, всю базу с 1/3 сайтов может получить каждый второй школьник с доступом в интернет, инфа 100%, лично видел такое.... В итоге, у злоумышленника на руках остаються все данные, ваш логин (Запомните это, это напрямую связанно с третим пунктом), ваш пароль, ваш емейл... дата рождения и тд, короче всё что вы вводили.
Однако, возможно изначальная причина и не такая, но программисты, те которые более компетентные, придумали хоть как-то защищать ваши данные и ввели фишку, хеширование паролей.
Хеширование это процесс, при котором со слова gfhjkm в итоге получиться набор символов типа j2p1löapi1mklasnjuk1jaik1jkj. По суте это похоже на шифровку, но шифрование от хеширования отличается тем, что зашифрованное можно расшифровать, а вот с захешированным уже ничего не сделаешь, ну, то есть в первоначальный вид его не вернёшь.... хех... в теории по крайней мере =)
Так вот, теперь после этого "нововведения" в базах данных хранятся ваши данные, но пароль уже захеширован. Как это происходит? Всё просто, при регистрации вы заполняете форму с вашим паролем gfhjkm, эта форма отправляеться на сервер и сервер её обрабатывает и хеширует, после хеширования она отправляеться в базу данных уже под таким видом j2p1löapi1mklasnjuk1jaik1jkj (это пример).
Примичание: когда я говорю нововведение это не значит что это ввели сейчас. Я вам расказываю происходящее по крайней мере последних 10-15 лет, но точные даты не скажу.
Так вот, когда вы делаете логин, вы также заполняете форму и отправляете форму. Эта форма хеширует введёный вами только что пароль и проверяет результат с тем что есть в базе. В итоге, если кто-то украдёт базу и при вводе пароля с базы j2p1löapi1mklasnjuk1jaik1jkj, он не сможет залогиниться, потому что хеш j2p1löapi1mklasnjuk1jaik1jkj отличаеться от хеша gfhjkm.
Использовалось для хеширования метод МД5, по нескольким причинам, к примеру то что он медленный. То есть, хеширование пароля занимало возможно где то 0.2 секунды, для 1 пользователя это быстро... но теперь представьте что какой то взломщик пытаеться подобрать пароль и переберает овер 10000 паролей, то есть на каждый он потратит 0.2 секунды, по мимо другого времени, ответа сервера, смена прокси и тд, не будем брать пропускную способность сайта и мультипоточность =)
Итог, это долго для него чтобы взломать ваш пароль.... ведь нужно перебрать все вариации abc...ABC...123...$“!...
Именно по этому более опытные "хакеры" научились ломать сам хеш. Они берут базу данных, берут все хеши паролей и пускают через програмку, плюс в том что не нужно ждать ответа от сервера. Скорость зависит от скорости компьютера и при этом можно использовать память видео карты для взлома хеша, потому что в связи с архитектурой построения видео карты, в случае с хешами она работает намного быстрее чем нормальный процессор. То есть эти 0.2 секунды можно уменьшить где то в десятки раз, то есть скорость станет в десятки раз быстрее.
Но програмисты и тут нашли выход, они начали добавлять соль.... блин, короче я устал писать, если кому интересно пишите в лс, обьясню... но суть в том что они предпочитают не париться и использовать соль + устаревший мд5, вместо перехода на лучший способ хеширования... но пусть так будет, чем больше фигофых фрилансеров, тем больше будут востребованы профессионалы.
3 - Итак, у нас есть самый низ "хакеров". Они тянут базы данных, для того чтобы получить логины, ведь не перебирать в слепую пароли к непонятным аккаунтам. Кстати берут они их либо с форумов, либо некоторые более могут их добывать сами, но это просто сделать. Однако взломать хеш трудно.
Поэтому что они делают? Делают всё просто, готовят список часто использованых паролей, типа
password
12345
gfhjkm
вася1234
вася1995
и даже В5а8с9я1
В итоге идёт перебор популярных паролей... надеясь на удачу и во многих случаях удача им повертаеться лицом =)
Так что ответ на ваш вопрос почему этого не надо делать:
Потому что этот пароль даже в самых плохих базах и в итоге этот пароль может взломать почти любой кто просто загуглит как это делается =)
