• Rejestracja
vBHELP.pl - polskie wsparcie vBulletin
  1. #1
    Awatar brattanek
    brattanek jest nieaktywny Stały bywalec
    Dołączył
    lis 2008
    Posty
    410
    Przydatne posty
    4

    Domyślnie md5(md5(pass).salt) - za słabe do złamania w 2h

    Dziś byłem świadkiem jak hasło do konta zostało złamane w 2h - maskara. Szukam sposobu zmiany zapisu hasła w bazie na coś mocniejszego.



  2. #2
    Awatar day-dreamer
    day-dreamer jest nieaktywny Użytkownik vBHELP.pl
    Dołączył
    lut 2008
    Posty
    723
    Przydatne posty
    3

    Domyślnie

    Jak się ma dostęp do odpowiedniego sprzętu to raczej wszystko da rade złamać


  3. #3
    MatKus jest nieaktywny Advanced Member
    Dołączył
    lip 2008
    Posty
    247

    Domyślnie

    Jeśli standardowe zabezpieczenia są zastosowane, czyli po 5krotnym wklepaniu złego hasła masz (chyba)15 minut blokady, to złamanie normalnego hasła jest bliskie niemożliwości.
    W 2 godziny daje ci to możliwość sprawdzenia tylko 40 różnych możliwości. Jeśli komuś udało się to zrobić tak szybko, to znaczy, że miałeś bardzo marne hasło i niezależnie od tego, jak będzie ono zaszyfrowane, złamie ktoś to bardzo szybko.

    W związku z tym zabezpieczeniem sposób szyfrowania haseł nie ma wpływu na szybkość uch złamania chyba, że ktoś zakosi ci bazę danych. Znając wówczas salt, który jest zapisany w bazie obok hasła, można próbować bruteforcem (zapewne z pomocą słowników) łamać hasła. W takim wypadku mając dobrą maszynę faktycznie można stosunkowo szybko złamać hasło, ale to stosunkowo szybko to nadal dość sporo jeśli masz sensowne hasło. No chyba, że hasło ma mało liter albo jest bardzo proste, np. aaaaaaaa albo też jest łatwe do znalezienia w słowniku.

    MD5 jest używane między innymi właśnie z tego powodu, że jest wykonywane stosunkowo szybko. Można wymyślić sposób kodowania, który będzie potrzebował kilku sekund na jedno hasło, ale wówczas zapomnij o forum, na którym siedzi online kilkanaście osób, nie wspominając o setkach czy tysiącach. Trzeba po prostu znaleźć kompromis pomiędzy szybkością a jakością.

    Po za tym weź też pod uwagę specyfikę MD5. Salt jest używany tutaj nie bez powodu. To, że złamałeś jednego usera nie daje ci wcale pewności, że to jest właściwe hasło, a tylko że tutaj zadziała. Jeśli nie trafiłeś na prawdziwe hasło a tylko na takie, które daje tą samą wartość MD5, to być może w innym miejscu nie zadziała ono
    były administrator forum.tibia.pl
    administrator forum.tibiaspy.com


  4. #4
    Awatar header
    header jest nieaktywny Advanced Member
    Dołączył
    wrz 2008
    Przegląda
    Myszków
    Posty
    661
    Przydatne posty
    5
    Wpisów
    7

    Domyślnie

    MatKus, jemu chodziło raczej o hasło w postaci md5 + salt, a nie przez logowanie się i sprawdzanie hasła.

    Hasło, ale w postaci md5 + salt, to nie problem.
    Dobra karta grafiki, i wcale nie musi trwać to aż 2 godziny.
    Wszystko zależy od tego, jak bardzo skomplikowane jest Twoje hasło.
    Ostatnio edytowane przez header ; 04.09.2009 o 15:21
    Mój Blog

    Oferty w sprawie konfiguracji i pomocy przy vBulletin proszę kierować na PW lub GG.

    Kliknij by napisać PW
    GG : 20650


  5. #5
    HDS
    HDS jest nieaktywny Użytkownik
    Dołączył
    cze 2009
    Posty
    59
    Przydatne posty
    2

    Domyślnie

    wszystko zależy od tego jak mocne jest twoje hasło

    najlepiej ustaw sobie hasło losowe z różnymi znakami wtedy nie ma szans aby ktoś z tego świata je złamał.

    np: 7h$5%*2d{]4frR7f

    http://www.kopaczka.net/statystyki-cd/


  6. #6
    Awatar brattanek
    brattanek jest nieaktywny Stały bywalec
    Dołączył
    lis 2008
    Posty
    410
    Przydatne posty
    4

    Domyślnie

    Cytat Zamieszczone przez HDS Zobacz posta
    wszystko zależy od tego jak mocne jest twoje hasło

    najlepiej ustaw sobie hasło losowe z różnymi znakami wtedy nie ma szans aby ktoś z tego świata je złamał.

    np: 7h$5%*2d{]4frR7f

    http://www.kopaczka.net/statystyki-cd/
    łady słownik i pozamiatane :/


  7. #7
    Awatar chomiczek
    chomiczek jest nieaktywny Stały bywalec
    Dołączył
    paź 2008
    Przegląda
    Wadowice, Poland, Poland
    Posty
    254
    Przydatne posty
    1

    Domyślnie

    to, że algorytm md5 nie jest bezpiecznym jest znane chyba od 2004... istnieje system/sposób generowania kolizji czyli takich ciągów znaków, które tworzą identyczny hash.. fakt podwójnego hashowania znacznie to utrudnia, ale wcale nie uniemożliwia co zresztą udowodniono w tym teście..
    ja od właśnie gdzieś 2004 roku zacząłem z powodzeniem stosować sha1, który jest o wiele bezpieczniejszy i raczej nie do złamania na domowym komputerze..

    Ogólnie w kwestii bezpieczeństwa, etc mogę trochę pomóc.


  8. #8
    Awatar brattanek
    brattanek jest nieaktywny Stały bywalec
    Dołączył
    lis 2008
    Posty
    410
    Przydatne posty
    4

    Domyślnie

    dokladnie sha1 + md5 juz lepiej


  9. #9
    Awatar chomiczek
    chomiczek jest nieaktywny Stały bywalec
    Dołączył
    paź 2008
    Przegląda
    Wadowice, Poland, Poland
    Posty
    254
    Przydatne posty
    1

    Domyślnie

    Cytat Zamieszczone przez brattanek Zobacz posta
    dokladnie sha1 + md5 juz lepiej
    hashowanie hasha ma jedną wadę.. za drugim razem hasujemy już znaki [a-z] oraz [0-9].. więc kombinacji jest o wiele mniej... fakt, że hasujemy więcej znaków (ale to zależy od złożoności hasła) jednak nie przemawia do mnie.


Chmurka.pl

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67