-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
История взлома одной браузерной игры. Возврат контроля.
- Автор темы Белый Тигр
- Дата начала
Белый Тигр
Новичок
Да истории черт с ними, не в библиотеке же. Обезличенно же можно принцип показать, который ты мог увидеть у любого заказчика.
Вот например на http://www.suspekt.org/ очень интересные вещи пробегают, вплоть до аудита по байткоду при отсутствии сорцов (скажем, сторонний продукт zend encoded)
Как бы, радужным таблицам вообще без разницы, насколько пароль был сложен до хеширования
MiksIr
miksir@home:~$
>и что плохого в готовых хэшерах при условии, если пароль сложный?
Тем, что они "не от мира сего" обычно, т.е. дальше какого-нибудь финта вокруг md5 не идут. Как результат - вполне конечное время подбора пароля. А если этот финт еще и без соления, есть шанс нарваться на готовую радужную таблицу для этого алгоритма. Знаки препинания помогают неплохо, кстати, их гораздо реже используют при подборе/построении радужных.
При этом "старый-старый" unix crypt с md5 алгоритмом использует тысячу итераций хеширования. Потихоньку входимый в обиход SHA (который при этом появился в crypt лет так 5-6 назад) сам по себе более ресурсоемкий и по дефолту делает, вроде 5 тысяч итераций с возможностью в строке хеша модифицировать это значение вплоть то миллиарда итераций.
Тем, что они "не от мира сего" обычно, т.е. дальше какого-нибудь финта вокруг md5 не идут. Как результат - вполне конечное время подбора пароля. А если этот финт еще и без соления, есть шанс нарваться на готовую радужную таблицу для этого алгоритма. Знаки препинания помогают неплохо, кстати, их гораздо реже используют при подборе/построении радужных.
При этом "старый-старый" unix crypt с md5 алгоритмом использует тысячу итераций хеширования. Потихоньку входимый в обиход SHA (который при этом появился в crypt лет так 5-6 назад) сам по себе более ресурсоемкий и по дефолту делает, вроде 5 тысяч итераций с возможностью в строке хеша модифицировать это значение вплоть то миллиарда итераций.
Херово что это все равно гонка со временем. То же использование GPU для вычислений дает уже приближение в перебор в несколько сотен лет вместо миллионов, и скорости растут слишком стремительно - думаю, лет 5-6 и даже SHA1 c длинными ключами станет вопросом нескольких минут.
MiksIr
miksir@home:~$
Ну вот для этого умные люди и ввели возможность указывать количество итерация прямо в хеше. Когда-то и миллиарда будет мало, да, но это ограничение реализационное, а не алгоритмическое, так что можно и больше поставить. Ну и потом, авторизация по закрытому ключу набирает популярность... глядишь, лет через 5-10 у каждого будет под кожей чип с закрытым ключом и считыватель у компа =)