MD5

HackForum

MD5#
Zdravim,
o kryptografii vseobecne moc nevim, tak se zeptam. Vygeneruju si md5 z urciteho retezece, dejme tomu "heslo" pomoci md5 funkce v PHP. Potom si z toho stejneho retezce vygeneruju md5 pomoci funkce v Jave a potom si stejne md5 vygeneruju pomoci echo heslo | md5sum v terminalu. PHP a Java se shoduji, heslo v terminalu ne. Avsak kdyz kterekoliv z vygenerovanych hesel chci nechat prolomit JtR, tak mi napise, ze heslo neni typu MD5. Jak velka je vubec pravdepodobost prolomeni MD5? A je toto hash MD5? 7f0546c6d83e1bae9a50f4ece658a999 ? Podle me jo. A je vubec prolomitelne?
(odpovědět)
ThePerson | 158.194.144.*16.3.2012 1:18
re: MD5#
u toho echa ti to nefunguje proto, že se ti tam započítává i zalomení řádku, jakmile přidáš parametr -n, pak bude i v bashi vypadat výstup stejně, jako v jave či php
echo -n heslo | md5sum

md5 může vypadat i jinak než sekvence 32 hexadecimálních znaků, viz například md5 hashe v UNIXových systémech. ty začínají dolary, obsahují větší škálu znaků a mají salt (sůl). pokud tedy tvůj cracker předpokládá takový tvar hashe, může považovat hexadecimální podobu za neplatnou.

co se týče prolomitelnosti, tak to je relativní, záleží na obsahu toho hashe a způsobu crackování (bruteforce vs rainbow tabulky).
(odpovědět)
Emkei | E-mail | Website | PGP16.3.2012 1:58
re: MD5#
Díky za objasnění. A ten hash 7f0546c6d83e1bae9a50f4ece658a999 by uměl někdo prolomit? Mě se to za použití všech wordlistů či databází které znám nepodařilo.
(odpovědět)
ThePerson | 158.194.144.*16.3.2012 14:13
re: MD5#
Na hashovací funkci není co prolamovat, jedná se o hash, ne šifru. Maximálně tak můžeš nalézt způsob generování kolizních hashů, nebo bruteforcem odhalit původní string.
(odpovědět)
Bystroushaak_ | 88.102.5.*16.3.2012 14:38
re: MD5#
Dobre, tak pro slovickare : "zjistit puvodni string" by nekdo umel?
(odpovědět)
ThePerson | 90.180.28.*16.3.2012 17:05
re: MD5#
Na to je zapotřebí seriózní výpočetní síla, nebo si můžeš koupit ranbow tables (předgenerované tabulky dvojic string:hash).

Očekávat že sem chodí bratři z řádu Internetových samaritánů, kteří to udělají za tebe je ne zrovna reálné.
(odpovědět)
Bystroushaak_ | 83.208.175.*17.3.2012 22:33
re: MD5#
to ThePerson: Můzeš mi sdělit z kolika znaků se to tvé heslo skládá? Potom bych to možná zkusil :)
(odpovědět)
Koala | 93.182.132.*16.3.2012 18:24
re: MD5#
Rad bych. Puvodni retezec neznam. Jedna se o heslo k webove sluzbe, ktere jsem zapomnel a potreboval bych ho nutne zjistit. Bohuzel...
(odpovědět)
ThePerson | 90.180.28.*16.3.2012 18:36
re: MD5#
prijde mi ze jsme narod sklerotiku... na soomu chce kazdej zjistit jen svoje heslo k "dopln si jakoukoliv sluzbu ke ktere je potreba heslo" to uz opravdu nikoho nezajimaji cizi hesla ?:-) [/ironie]
(odpovědět)
oO. | 89.24.93.*17.3.2012 3:57
re: MD5#
Je blbe se priznat, ne ? :-D
(odpovědět)
ThePerson | 46.39.188.*17.3.2012 18:25
re: MD5#
:) ... nedávno jsem bezpečnost hesla a md5 u sebe řešil.. napadlo mě docela myslím si kvalitní zabezpečení - totiž při registraci do DB dát k danému heslu (před, za, nebo třeba za 3.znak - když zabezpečíme že heslo bude delší než 3 znaky) přidat nějaké slovo, které potom vytvoří takový hash, že ho jeho původní podobu neobsahuje žádný wordlist.

Příklad: "hes"+"neco_krutoprisnetajneho_na_co_nikdo_
neprijde"+"lo"
Samozřejmě stejná metoda se musí použít při přihlašování (ověřování)... když se někdo k hashům náhodou dostane, 'nikdy' nepřijde na skutečný význam, pakliže nebude znát klíč..

Co si o tom myslíte? Mě to přijde geniální...
(odpovědět)
vosa | 90.179.95.*17.8.2012 11:03
re: MD5#
Zrovna jsi vymyslel soleni :-)

Ale pokud uz solis, tak je imho lepsi dat sul nejen ke kazdymu heslu zvlast, ale i sul spolecnou pro vsechny ucty primo do kodu toho webu, protoze casto dojde jenom k leaku databaze.(Nadruhou stranu, pokud se sul pridava nejakym obskurnim zpusobem, napriklad do tebou navrhovaneho prostredku retezce, castecne to hodnotu spolecne soli snizuje.)
(odpovědět)
kolemjdouci17.8.2012 12:08
re: MD5#
"napadlo mě docela myslím si kvalitní zabezpečení"
:D
To jo, typka napadlo soleni... Ale tak docela dobry, pokud si o tom predtim opravdu nemel sajnu. :)
(odpovědět)
Ussi | 15.203.169.*7.9.2012 15:07
re: MD5#
Na solení jsem narazil, ale nějak jsem mu plně nerozuměl a tak jsem to přešel, a tohle mě pak napadlo :) ...
(odpovědět)
vosanet | E-mail | Website9.9.2012 11:56

Zpět
 
 
 

 
BBCode