Безопасность md5

[Разгильдяй]

Безопасность md5

Существует алгоритм, с помощью которого можно расшифровать большую часть паролей, закодированных в md5. Значит ли это что md5 состарился и умирает и на что стоит переходить?

 

[SiMM]

Разгильдяй, ты неправильно понял источник своей информации. Либо этот источник сам нихрена не понял и переврал - получился испорченный телефон.

 

[Разгильдяй]

Я взял свой пароль 6 значный (состоящий букв и цифр) закодированный в мд5 и за пол минуны увидел его в нормальном виде. Потом взял пароли еще 500 своих пользователей закодированных в мд5 и тоже увидел их в нормальном виде. И это ты называешь испорченным телефоном?

 

[SiMM]

aa778f2be970dca5a095687d81d1e451 - вперёд. После того, как расправишся с этим, шестибуквенным, можешь приступить к этому - 49f177e8e57bfd008a982f2a772a0b0a

 

[DiMA]

Слушай, раздол... т.е. Разгильдяй... "и за пол минуны увидел его в нормальном виде". Ты телепат, чтобы увидеть? Или взял всем известные утилиты для взлома паролей на рар-архивы, MD5 и прочие хеши? Ну, взял ты этот софт. И что, умнее всех? Есл хочешь сделать заявление, то составь свое сообщение так:

1. я придумал пароль типа "yifji4"
2. я взял такой-то софт
3. за 30 секунд взломал хеш

А со своей туфтой... ну только чужое время отнимаешь. Тогда все смогут проверить и ответить на вопрос.

-~{}~ 15.12.05 19:35:

Мой комп подбирает 6-ти буквенный \w\W\d за 3 часа. У меня разогнанный AMD 2400 МГц. У тебя - за 30 сек. Значит у тебя либо 360 компов для хака, либо аналог AMD 864 ГГц! Круто

 

[white phoenix]

Разгильдяй
какой софт использовал? если обычный перебор то не интересно, мой пароль типа #@(SDfja11hc!9 всё равно вскроешь очень не скоро

 

[Кром]

>Я взял свой пароль 6 значный (состоящий букв и цифр) закодированный в мд5 и за пол минуны увидел его в нормальном виде.

Ага, для пароля типа "qwerty" вполне нормальное явление.

 

[Разгильдяй]

Если твой комп подбирает за 3 часа 6-ти значный пароль, это не начит, что его нереально подобрать за 1 секунду с первой же попытки на 286 и это не значит, что ты все 6-ти значные пароли будешь подбирать 3 часа. На P4 2.53 скорость 4.000.000 попыток в секунду.

Есть ли алгоритм, который кодирует жеще чем md5? Что можешь посоветовать? У 99% пользователей инета пароли редко превышают 6-8 символов. Суровая реальность.

 

[Turist]

Разгильдяй
Насколько мне известно, существуйт алгоритм относительно быстрого нахождения коллизий для md5 хэша, но тут не всё так радужно как кажется. Колизия для слова из 6 букв может быть довольно длиным словом и вставить и передать его куда нибудь врятли будет возможно Так что not panic!

 

[SiMM]

> На P4 2.53 скорость 4.000.000 попыток в секунду.
2 года, 2 месяца и 23 дня при переборе шестисимвольного пароля в худшем случае

<?=pow(256,6)/4000000/60/60/24/365?>

> У 99% пользователей инета пароли редко превышают 6-8 символов.
Ну так я жду. Прошло уже более получаса.
PS: шестисимвольный пароль вполне даже незамысловатый

 

[Разгильдяй]

99% пользователей инета пароли редко превышают 6-8 символов. Про сложность я молчу. Да возможно до пассворда рута никто не доберется, но 99% пользователей поломают как пить дать. Я не утверждаю то, в чем не уверен!

 

[master_x]

Разгильдяй

99% пользователей поломают как пить дать

Я не утверждаю то, в чем не уверен!

выбери одно из двух

 

[DiMA]

> это не начит, что его нереально подобрать за 1 секунду с первой же попытки на 286

ох ты боже мой, какой ты умный! Типа а мы все думали, что пароли будут только по закону Мерфи ломаться - в самом-самом конце цикла атаки по перебору букв Тебе че, поговорить охота? 3 часа - это прогноз программы взлома хеша на ПОЛНЫЙ перебор всех \w\W\d паролей из 6 букв. 8 букв - 112 дней.

> На P4 2.53 скорость 4.000.000 попыток в секунду.

Выкини на свалку свой пень. Мой разогранный биосом (без спец охлаждения) AMD 2200МГц дает чуть более 5.000.000 попыток в секунду =)
(именно 2200, а не 2400, я ошибся)

 

[Разгильдяй]

А как насчет мощных онлайн крекеров хешей? По сравнению с ними 5.000.000 в секунду это скорость улитки. Правда не все они бесплатные, это факт.

 

[SiMM]

> А как насчет мощных онлайн крекеров хешей?
Разрешаю воспользоваться для нахождения моих паролей Хеши я уже дал.

 

[DiMA]

Тебе на вопрос ответили или нет? Хочешь потрепаться на тему, нужно ли платить $10К за взлом сайта Васи Пупкина - назови тему по другому и желательно в оффтопике. Своими дешевыми провокациями ты смущаешь новичков.

Или вот ломани хеш от моего чата @MS#X1uhDyB_Ohbd-7vrlRQqmJGyRJYy9M6cYETIgh5iM4lAaFgF_1Yo3SeWyWRJS10-, всего 8 маленьких букв (подсказка - два последних символа - 00, два нуля). Т.е. ломать тебе реально только 6 букв Что, не знакомый алгоритм хеширования? Это не ко мне

 

[Разгильдяй]

Меня интересует следующий вопрос. Есть ли алгоритм, который кодирует жеще чем md5? Если знаете, подскажите пожалуйста. Больше ничего не интересует. Доказывать, спорить и унижаться никто не собирается. Давайте каждый останемся при своем мнении. Я пришел сюда не для того, чтобы когото переубеждать.

 

[SiMM]

> Есть ли алгоритм, который кодирует жеще чем md5?
Ты бы теорию почитал, да? md5 ничего не кодирует. Он получает ХЭШ данных. К кодированию информации это не имеет никакого отношения. Декодировать md5 невозможно по определению. Можно получить коллизию, да - но к декодированию это отношения не имеет. Иначе можно было бы написать архиватор, который жмёт любые данные в 16 байт

 

[Разгильдяй]

Автор оригинала: DiMA
Тебе на вопрос ответили или нет? Хочешь потрепаться на тему, нужно ли платить $10К за взлом сайта Васи Пупкина - назови тему по другому и желательно в оффтопике. Своими дешевыми провокациями ты смущаешь новичков.

Это сугубо мое личное мнение. Основанное на практике. Если оно кому-то не по душе это его личное дело. Взломали моих пользователей. Пароли хранились в мд5. Мне продемонстрировали все до мелочей. Я пришел к выводу, что учитывать то, что 99% имеют короткие и легкие пароли мд5 категорически не подходит для хранения паролей, покрайней мере для моего сервера.

 

[SiMM]

Вот с этого и нужно было начинать.

$md5 = md5($password.'my_super_puper_secure_key');

должно быть более, чем достаточно. Конечно остаётся вопрос не прозевать исходники с ключем

Добавлено позднее - для большей секьюрности на каждом сервере значения строки my_super_puper_secure_key различны.