haszowanie haseł oraz pytanie czy mozna przejrzec ukryte ip Opcje

[michat34]

witam, moje pytania moga sie wydac bardziej zaznajomionym w temacie troche glupie ale zapytam. hasla sie haszuje z oczywistych wzgledow. sha1, sha2 i inne algorytmy. z tego co czytalem glownym kryterium i problemem jest ilosc czasu potrzebnego na oczytanie go metoda brute-force. czy nie mozna by bylo to obejsc zwyczajnie dajac co 3 nieudane trafy przerwe 15 minutowa? czas ten tez moglby sie zwiekszac gdyby ciagle zle sie podawalo. po wielu nieudanych probach mozna by tez blokowac konto i dopiero administrator by odblokowal po przekonaniu go. to po pierwsze i po drugie:

do ukrycia ip mozna stosowac bramki proxy albo odpowiednie programy. czy administrator ma mozliwosc przejrzenia mimo to prawdziwego ip? jak testowalem uzywajac zmiennej REMOTE_ADDR to przy proxy mowil ze sa 2 rozne ip. ale czy sa mozliwosci zeby mimo to przejrzec prawdziwe ip?

pozdrawiam

[mrWodoo]

Panowie chyba nie słyszeli o tym, w jakim tempie można takie operacje przeprowadzić przez CUDA (obliczenia przeprowadzane na kartach graficznych).

propsuje!
sam mam kartę z CUDA i naprawdę, temo powala.

Dobra lektura
http://www.codinghorror.com/blog/2012/04/speed-hashing.html

do hashów używaj Bcrypt z 12 rundami (Manual: crypt)
a Ip właściwe można podejrzeć, ale wiele proxy to maskuje, HTTP_X_FORWARDED_FOR z $_SERVER, jeszcze może być w HTTP_CLIENT_IP