Не сыпь мне соль на password: реанимируем умерший MD5
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
RE: Не сыпь мне соль на password: реанимируем умерший MD5 - 2007-09-25 00:33:20.386666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Проблема "коллизий" очень интересная. Если md5-"неоднозначная" функция, то где гарантия, что для всякого $StrongPassword не существует по крайней мере одного $SimplePassword такого что md5(md5($Salt).md5($SimplePassword))=md5(md5($Salt).md5($StrongPassword))
По простому говоря, "просаливание"-это не решение проблемы
|
|
|
RE: Не сыпь мне соль на password: реанимируем умерший MD5 - 2007-09-25 08:55:05.013333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
НО шанс коллизии очень мал, так что ей впринципе можно принебречь.
|
|
|
RE: Не сыпь мне соль на password: реанимируем умерший MD5 - 2007-09-25 12:56:44.653333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Выходная строка всегда имеет постоянную длину в 32 символа. Восстановление данных, зашифрованных этим алгоритмом, возможно лишь методом грубой силы
- бредятина… Полная
|
|
|
RE: Не сыпь мне соль на password: реанимируем умерший MD5 - 2007-09-25 19:15:41.793333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Выходная строка всегда имеет постоянную длину в 32 символа. Восстановление данных, зашифрованных этим алгоритмом, возможно лишь методом грубой силы
Двоечнег полный. Если ты уже составил алгоритм который тебе восстанавливает данные из хэша, срочно беги за нобелевкой.
|
|
|
RE: Не сыпь мне соль на password: реанимируем умерший MD5 - 2007-09-27 09:13:44.620000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Сами вы двоечнеги полные, подбор значений пароля и сравнение хешей и есть восстановление, вы же сравниваете хеши? Вот если бы не сравнивали то бредятина…
|
|
|
RE: Не сыпь мне соль на password: реанимируем умерший MD5 - 2007-09-27 09:29:49.783333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
ОК, не двоечниг - но очень запущенный троечниг. Для начала - выучи русский язык, чтобы давать корректные определения. Восстановление данных и подбор пароля по хэш значению - весчи разные, однако :). Применительно к хэш-значениям восстановление первоначальных данных не имеет смысла. Во-вторых, узнай что такое хэш функции и с чем их едятЪ. Для сведения - длина значений хэш функций - 128 бит для MD5, 160 бит - для SHA1, 256 - SHA256 и т.д. Биты в байты сам сможешь перевести? То, что ты там понаписал про 32 символа - это всего лишь 16-ричное представление ЗНАЧЕНИЯ хэш функции - для того, чтобы некоторым "компьютерным писателям" были видны все буковки на экране. Так что - RTFM. P.S. отмотай назад счетчик, бессовестный троечниг!
|
|
|
RE: Не сыпь мне соль на password: реанимируем умерший MD5 - 2007-09-27 09:39:47.393333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Восстановление данных, ЗАШИФРОВАННЫХ этим алгоритмом,
- он не двоечниг - он еще просто в школу не ходил.
|
|
|
RE: Не сыпь мне соль на password: реанимируем умерший MD5 - 2007-09-27 14:45:25.630000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
еще один Ya Debilko :)))
|
|
|
Plata - 2007-09-29 12:50:34.600000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Kak mojna uznat materinskuyu platu dopustim eto asus ili biostar i druqiye.
|
|
|
RE: Не сыпь мне соль на password: реанимируем умерший MD5 - 2007-09-30 10:52:45.313333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
стотья хорошая познаваельная. много нового узнал. кому не нравтся пусть их сожжот ацкий пламень!!! Дефор ты наш кумир! всупате и компелируйте вместе мы сила!!
|
|
|
RE: Не сыпь мне соль на password: реанимируем умерший MD5 - 2007-10-05 09:47:44.990000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Статья нормальная для начального уровня% присоединяюсь к замечанию по длине MD5 (138 бит) + > "блочный шифр RC4. Это очень быстрый и достаточно легкий в реализации поточный шифр" - всё же, различайте блочные и поточные. RC4, AFAIK, относят к поточным (можно назвать и "блочным с блоком в 1 байт" в отличие от "строго поточных", могущих работать хоть побитно).
|
|
|
RE: Не сыпь мне соль на password: реанимируем умерший MD5 - 2007-10-08 19:19:29.526666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Статья непонятно зачем написана. Криптостойкость системы за счет вашего соления не увеличивается. Если вы беспокоитесь о гипотетической слабости MD5, используйте SHA1+BASE64 encoding (если нужен) Пережевать за тупого юзера и его слабый пароль не следует ;)
|
|
|
RE: Не сыпь мне соль на password: реанимируем умерший MD5 - 2007-10-09 15:15:14.790000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
>Криптостойкость системы за счет вашего соления не увеличивается - как я понял, цель состоит в затруднении подбора пароля стандартными средствами; а для этого сгодится любое булево преобразование, в т. ч. и осуществляемое приведённым кодом. При полностью известном алгоритме, против самописного софта перебора именно под него, слабый пароль не усилит вообще ничто (новой информации ведь в него не добавляетсся; никто не отменял дедушку Шеннона); ИМХО, вывод - держите в секрете "соль" или алгоритм создания её по паролю.
|
|
|
RE: Не сыпь мне соль на password: реанимируем умерший MD5 - 2007-10-12 01:40:02.466666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Автор, вот это что такое?
"Такой способ не защищает совсем уж слабые пароли. Для вскрытия их иногда даже не надо знать саму соль, лишь алгоритм накладывания. Получаем следующие действия: По хэш-сумме «соленого» пароля находим строку длинной 64 символа; перебор упрощает то, что используются лишь латинские символы нижнего регистра в интервале a-f и цифры."
Это как ты умудрился подобрать 64 символа (или 256 бит, если брать по-нормальному)? Алгоритм инвертировал, да?
|
|
|
RE: Не сыпь мне соль на password: реанимируем умерший MD5 - 2007-10-27 11:40:53.643333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
>Это как ты умудрился подобрать 64 символа (или >256 бит, если брать по-нормальному)? Алгоритм нвертировал, да Тут автор, ИМХО, имел в виду, что нам достаточно знать хэш от соли - а далее простой перебор - хэшировать короткий словарный пароль -> приписать _известный_ _хэш_ _соли_ -> хэшировать полученное -> сравнить с заданным. Как видим, перебор идёт только коротких словарных паролей. И, теоретически, действительно, могут быть случаи, когда неизвестна сама соль, но известен (например, выцеплен из памяти каким-нибудь отладчиком при работе алгоритма) хэш от неё.
|
|
|
RE: Не сыпь мне соль на password: реанимируем умерший MD5 - 2007-12-15 18:07:29.530000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Для вскрытия их иногда даже не надо знать саму соль, лишь алгоритм накладывания. Получаем следующие действия:
1. По хэш-сумме «соленого» пароля находим строку длинной 64 символа; перебор упрощает то, что используются лишь латинские символы нижнего регистра в интервале a-f и цифры.
Автор не двоечник. Он просто чего-то употреблял. 16^64 это ТАКОЕ пространство для поиска, что мне даже страшно подумать как это делается. А уж пассвордпро, строго говоря, запрашивает соль, по ней и векторы из "генератора" (блок, отвечающий за выбор следующего пароля) вычисляет ту самую функцию и сравнивает с искомым хешем.
А теперь о том, почему соль имеет более высокую криптостойкость.
При использовании брутфорса, ничего не меняется. А вот если бы многоуважаемые и многочисленные гвесты ознакомились с технологией RainbowCrack, то все стало бы на свои места.
Вкратце, это подразумевает предвычисление таблиц для взлома паролей. Однако для соленых хешей таковая операция невозможна (читайте доки то ли у Шуанглея, то ли у Охслина).
|
|
|
RE: Не сыпь мне соль на password: реанимируем умерший MD5 - 2009-09-26 13:58:03.530000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
"Такой способ не защищает совсем уж слабые пароли. Для вскрытия их иногда даже не надо знать саму соль, лишь алгоритм накладывания. Получаем следующие действия: По хэш-сумме «соленого» пароля находим строку длинной 64 символа; перебор упрощает то, что используются лишь латинские символы нижнего регистра в интервале a-f и цифры. Отрезаем ту часть полученной строки, которая представляет собой хэшированную соль (в нашем случае это символы с 33-го по 64-ый). Скармливаем на перебор полученную строку (1-32-ой символы)."
больной товарищ писал. 16^64~=1.15*10^77 это никогда не подобрать
|
|
|
RE: Не сыпь мне соль на password: реанимируем умерший MD5 - 2009-11-29 06:36:32.563333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
@$temp.=$spec[$c_text[$i]]; } elseif(ord($c_text[$i])>=97 and ord($c_text[$i])<=100){ @$temp.=strtoupper($crypted[$i]); } else { @$temp.=$crypted[$i];
Одного меня смутил этот участок кода?
|
|
|
RE: Не сыпь мне соль на password: реанимируем умерший MD5 - 2010-07-24 21:58:24.126666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
>>По хэш-сумме «соленого» пароля находим строку длинной 64 символа; перебор упрощает то, что используются лишь латинские символы нижнего регистра в интервале a-f и цифры.
во бля рассмешил!!! ваще кадр ты я вижу что надо. на твердую двойку учился в универе, нэ? сложность прикидываеш своего перебора? даю гарантию сам никогда не перебирал! а пиздиш только что "можно" щас я тебе пакажу как это можно. блять:
10 букв + 26 (латиница) = 36 итого операций - 36^64 ну давай положим что у тебя есть сила всей галлактики представим нереальные 36^55 сравнений в секунду что разбить на два вонючих кэша тебе потребуется ~ 3 миллиона лет
может быть я доказал всю тупость статьи, нэ? ^__w__^
ЗЫ юзаю md5(md5(uniqid(rand(), true)) . $pass) 99^99 галактик абассуться такое взломать
ЗЫЗЫ афтар дибил еще потому что не знает: у всех прог-ломалок просто база md5($pass) где пасы самые популярные 123 и тд
|
|
|
|
|