Меню
Что нового?

Безопасность md5

white phoenix

Новичок
SiMM
Не записывал, к сожалению. Давно видел хаки для vB, phpBB, опциально в MobilePublisherPHP 1.0. Недавно с приятелем обсуждали что именно лучше, с точки зрения безопасности, хешировать и записывать в cookie. Пришли к выводу что на каждом сайте нужно использовать свою случайную строку которая добавляется к паролю. Либо можно вообще не использовать пароль в строке, а использовать специальную последовательность которая привязывается к маске IP x.x.x.*, где x там соответствующие части REMOTE_ADDR при входе.
 

texrdcom

Новичок
Автору не поможет не одни алгоритм если у него расшифровалия суммы md5 :) так что тема офтоп,
интерестно чего админы её не грохнули ?
 

texrdcom

Новичок
white phoenix
Что не так ?, или ты тоже хочешь расшифровать два пароля хеш в выше в даном топике!.
Есть кучу вариантов лома хешей читаем в инете большенство опираеться на подбор по словарю! но кто мешает генирить пароли для пользователя или запрещать использовать в паролях одни буквы ... плюс прочитать как правильно делать авторизацию!
 

Роберт

Аналитик
Разгильдяй
Какой смысл искать жёсткий алгоритм , когда при знании самого алгоритма любой его подберёт методом перебора практически за одинаковое количество времени в не зависимости от того - чем ты шифровал...
А вот если ты в том же результате md5 поменяешь два последних символа - то уже врятли кто-нибудь когда-нибудь догадается об этом...
Так что вывод прост - любой простенький СВОЙ алгаритм шифрования будет надёжней чем суперовский но известный (потому что тот кто найдёт закодированные твоим методом пароли - не будет знать как из подбирать).
Хотя , осмеюсь заметить , что SiMMины пароли ты так и не подобрал , хотя и хвастался...

Turist
Когда-то читал о том о чём ты говоришь , но это наверно больше интересно для спецслужб со своими дешифрующими агенствами. Оттуда запомнилось что для шифрования md5 используется специальная матрица подобранная так чтобы МАКСИМАЛЬНО исключить подбор по коллизии! А если бы матрица была из произвольных цифр , то подбр по коллизии давал бы во много раз больший результат.
Источник уже не помню - но по моему это была книжка по линуксу за 2001 год...

Всем
А кто-нибудь может подсказать принципиальную разницу между md5 и sha1? (или ткните меня куда-нибудь где об этом красиво по русски описано). А то работаю с MySQL , шифрую то одним , то другим , а разницы не понимаю... :(
 

ForJest

- свежая кровь
Я чёт так и не понял взаимосвязи между взломом форума и криптостойкостью md5 :)
 

white phoenix

Новичок
ForJest
взаимосвязи нет :) всё равно никаких действенных методов кроме подбора, на данный момент нет.
 
svetasmirnova

svetasmirnova

маленький монстрик
Роберт
Чего-то ты гонишь.
>А кто-нибудь может подсказать принципиальную разницу между md5 и sha1?
Разница в длине, алгоритме и требуемых мощностях для перебора. Где читать не скажу, так как это тот редкий случай, что мне хватило бумажной книжки по впоросам криптографии и безопасности. Погугли.
ForJest
А вдруг его сервер выдержит мощную атаку по перебору пароля ;)
 
diamond_krnl

diamond_krnl

pure-php
Разгильдяй, да у вас параноя. ((:)

еще можно подискутировать: а фдруг завтра интел сделает супер-проц! 100 ггц! что все веб-прогеры будут дружно волосы на жопе рвать. ((:)
 
kvf77

kvf77

Red Devil
SiMM

сдается ему не дает покоя то, что ктото доберется на его гвест бух, никак не меньше - тут ведь какое дело, доберутся, напакостят - такого допустить просто нельзя, потому ему надо способ шифрования как в Пентагоне

еще такое дело - если хакер спер пароли с другого форума - то он там их и заламает, что толку, что ты будешь шифровать их подругому? у хакера будет чистый пароль и на твои ухищрения ему будут пофигу. поскольку у пользователя как правило один и тот же пароль ввезде - то ты попадаешь полюбому :)
 

white phoenix

Новичок
Роберт
не обращай внимание ;) имхо у неё такой стиль общения, внатуре.
kvf77
действительно один и тот же пароль везде как правило? откуда такие сведения?
 

ForJest

- свежая кровь
white phoenix
Ну кстати почему нет действенных. Я не вижу смысла подбирать пароли один за другим и повторять постоянно этот процесс.
Словарь можно сделать из достаточно большого кол-ва комбинаций, запихать его в БД и производить поиск, вполне себе нормально.
Видимо за счёт этого и "сломали" пароли так быстро :).
 

white phoenix

Новичок
ForJest
:D что же это за СУБД такая должна быть... у меня на laptop'е p4 2.2 ггц, последовательно подбирает со скоростью 5*10^6 в секунду, а теперь представь сколько рядов будет в таблице? Да и в любом случае, из общих соображений, хранить в БД данные которые можно получить и без неё не следует. Это как записать в БД, таблицу умножения до 10^6 и потом выбирать из неё значения вместо обычной операции умножения.
 

si

Administrator
ForJest
для этого и есть salt (может топики надо с начала читать ? )
 
kvf77

kvf77

Red Devil
white phoenix

статистика, мой друг :) не путай себя с Машей - у типового пользователя пароль один - не удивлюсь, если он еще подходит к открытию подъезда, и кредитной карте :) такова уж типичная поведенческая модель статистического юзера. прошу не брать за статистического юзера себя и админов и людей помешаных на безопасности - таких очень мало :)
 

viewsonic

Guest
md5 умирает. Уже есть ripemd. Он лучше хэширует.
Для прикола. Взял 300 хэшей с одного знакомого форума. За час взломал около 50% (A-Z,a-z,0-9). Пока дошел до 5-тибуквенных. Из этих 50% около половины - словарные слова.
 
_RVK_

_RVK_

Новичок
Одного не пойму, как сложность взлома пароля перебором, зависит от алгоритма шифрования?
 

white phoenix

Новичок
_RVK_
> как сложность взлома пароля перебором, зависит от алгоритма шифрования?
"сложность" перебора зависит от скорости алгоритма шифрования, больше никак.
 
_RVK_

_RVK_

Новичок
Да, еще зависит от скорсти процессора, количества оперативки, теории вероятности, законов Мерфи.... да от чего угодно только не от алгоритма шифрования.
 
Войдите или зарегистрируйтесь для ответа.
Сверху