| Zdravim,
o kryptografii vseobecne moc nevim, tak se zeptam. Vygeneruju si md5 z urciteho retezece, dejme tomu "heslo" pomoci md5 funkce v PHP. Potom si z toho stejneho retezce vygeneruju md5 pomoci funkce v Jave a potom si stejne md5 vygeneruju pomoci echo heslo | md5sum v terminalu. PHP a Java se shoduji, heslo v terminalu ne. Avsak kdyz kterekoliv z vygenerovanych hesel chci nechat prolomit JtR, tak mi napise, ze heslo neni typu MD5. Jak velka je vubec pravdepodobost prolomeni MD5? A je toto hash MD5? 7f0546c6d83e1bae9a50f4ece658a999 ? Podle me jo. A je vubec prolomitelne?
(odpovědět) | | ThePerson | 158.194.144.* | 16.3.2012 1:18 |
|
|
|
| u toho echa ti to nefunguje proto, že se ti tam započítává i zalomení řádku, jakmile přidáš parametr -n, pak bude i v bashi vypadat výstup stejně, jako v jave či php
echo -n heslo | md5sum
md5 může vypadat i jinak než sekvence 32 hexadecimálních znaků, viz například md5 hashe v UNIXových systémech. ty začínají dolary, obsahují větší škálu znaků a mají salt (sůl). pokud tedy tvůj cracker předpokládá takový tvar hashe, může považovat hexadecimální podobu za neplatnou.
co se týče prolomitelnosti, tak to je relativní, záleží na obsahu toho hashe a způsobu crackování (bruteforce vs rainbow tabulky).
(odpovědět) | Emkei |  |  |  | 16.3.2012 1:58 |
|
|
|
| Díky za objasnění. A ten hash 7f0546c6d83e1bae9a50f4ece658a999 by uměl někdo prolomit? Mě se to za použití všech wordlistů či databází které znám nepodařilo.
(odpovědět) | | ThePerson | 158.194.144.* | 16.3.2012 14:13 |
|
|
|
| Na hashovací funkci není co prolamovat, jedná se o hash, ne šifru. Maximálně tak můžeš nalézt způsob generování kolizních hashů, nebo bruteforcem odhalit původní string.
(odpovědět) | | Bystroushaak_ | 88.102.5.* | 16.3.2012 14:38 |
|
|
|
| Dobre, tak pro slovickare : "zjistit puvodni string" by nekdo umel?
(odpovědět) | | ThePerson | 90.180.28.* | 16.3.2012 17:05 |
|
|
|
| Na to je zapotřebí seriózní výpočetní síla, nebo si můžeš koupit ranbow tables (předgenerované tabulky dvojic string:hash).
Očekávat že sem chodí bratři z řádu Internetových samaritánů, kteří to udělají za tebe je ne zrovna reálné.
(odpovědět) | | Bystroushaak_ | 83.208.175.* | 17.3.2012 22:33 |
|
|
|
| to ThePerson: Můzeš mi sdělit z kolika znaků se to tvé heslo skládá? Potom bych to možná zkusil :)
(odpovědět) | | Koala | 93.182.132.* | 16.3.2012 18:24 |
|
|
|
| Rad bych. Puvodni retezec neznam. Jedna se o heslo k webove sluzbe, ktere jsem zapomnel a potreboval bych ho nutne zjistit. Bohuzel...
(odpovědět) | | ThePerson | 90.180.28.* | 16.3.2012 18:36 |
|
|
|
| prijde mi ze jsme narod sklerotiku... na soomu chce kazdej zjistit jen svoje heslo k "dopln si jakoukoliv sluzbu ke ktere je potreba heslo" to uz opravdu nikoho nezajimaji cizi hesla ?:-) [/ironie]
(odpovědět) | | oO. | 89.24.93.* | 17.3.2012 3:57 |
|
|
|
| Je blbe se priznat, ne ? :-D
(odpovědět) | | ThePerson | 46.39.188.* | 17.3.2012 18:25 |
|
|
|
| :) ... nedávno jsem bezpečnost hesla a md5 u sebe řešil.. napadlo mě docela myslím si kvalitní zabezpečení - totiž při registraci do DB dát k danému heslu (před, za, nebo třeba za 3.znak - když zabezpečíme že heslo bude delší než 3 znaky) přidat nějaké slovo, které potom vytvoří takový hash, že ho jeho původní podobu neobsahuje žádný wordlist.
Příklad: "hes"+"neco_krutoprisnetajneho_na_co_nikdo_
neprijde"+"lo"
Samozřejmě stejná metoda se musí použít při přihlašování (ověřování)... když se někdo k hashům náhodou dostane, 'nikdy' nepřijde na skutečný význam, pakliže nebude znát klíč..
Co si o tom myslíte? Mě to přijde geniální...
(odpovědět) | | vosa | 90.179.95.* | 17.8.2012 11:03 |
|
|
|
| Zrovna jsi vymyslel soleni :-)
Ale pokud uz solis, tak je imho lepsi dat sul nejen ke kazdymu heslu zvlast, ale i sul spolecnou pro vsechny ucty primo do kodu toho webu, protoze casto dojde jenom k leaku databaze.(Nadruhou stranu, pokud se sul pridava nejakym obskurnim zpusobem, napriklad do tebou navrhovaneho prostredku retezce, castecne to hodnotu spolecne soli snizuje.)
(odpovědět) | |
|
|
| "napadlo mě docela myslím si kvalitní zabezpečení"
:D
To jo, typka napadlo soleni... Ale tak docela dobry, pokud si o tom predtim opravdu nemel sajnu. :)
(odpovědět) | | Ussi | 15.203.169.* | 7.9.2012 15:07 |
|
|
|
| Na solení jsem narazil, ale nějak jsem mu plně nerozuměl a tak jsem to přešel, a tohle mě pak napadlo :) ...
(odpovědět) | |
|
|
