haszowanie haseł oraz pytanie czy mozna przejrzec ukryte ip Opcje

[michat34]

witam, moje pytania moga sie wydac bardziej zaznajomionym w temacie troche glupie ale zapytam. hasla sie haszuje z oczywistych wzgledow. sha1, sha2 i inne algorytmy. z tego co czytalem glownym kryterium i problemem jest ilosc czasu potrzebnego na oczytanie go metoda brute-force. czy nie mozna by bylo to obejsc zwyczajnie dajac co 3 nieudane trafy przerwe 15 minutowa? czas ten tez moglby sie zwiekszac gdyby ciagle zle sie podawalo. po wielu nieudanych probach mozna by tez blokowac konto i dopiero administrator by odblokowal po przekonaniu go. to po pierwsze i po drugie:

do ukrycia ip mozna stosowac bramki proxy albo odpowiednie programy. czy administrator ma mozliwosc przejrzenia mimo to prawdziwego ip? jak testowalem uzywajac zmiennej REMOTE_ADDR to przy proxy mowil ze sa 2 rozne ip. ale czy sa mozliwosci zeby mimo to przejrzec prawdziwe ip?

pozdrawiam

[pamil]

Brute-force możmna rozumieć dwojako:
- atak bezpośrednio na stronę logowania: mamy login użytkownika, nie mamy skrótu jego hasła, testujemy wszystkie możliwe hasła po kolei
- atak na posiadany skrót: mamy skrót hasła użytkownika, próbujemy go złamać lokalnie, tetsujemy wszystkie możliwe hasła i cieszymy się jeśli hash($mozliwosc) == $hash

Hasła hashuje się aby zapobiec temu drugiemu. Opisałeś sposoby zapobiegnięcia temu pierwszemu.