ANTICHAT Forum
HOME FORUMS MEMBERS RECENT POSTS LOG IN  
НОВЫЕ ТОРГОВАЯ НОВОСТИ
loading...
Скрыть
Вернуться   ANTICHAT > ПРОГРАММИРОВАНИЕ > PHP
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

  #11  
Старый 23.05.2007, 01:04
fucker"ok
Познавший АНТИЧАТ
Регистрация: 21.11.2004
Сообщений: 1,137
С нами: 11298566

Репутация: 761


По умолчанию

Всё верно. Если знать алгоритм, то брут затрудниться в два раза, а если не знать, то чтобы dc5f4c3b5aa765d61d8327deb882cf99 превратилось в 696d29e0940a4957748fe3fc9efd22a3 понадобиться пара сотен лет (если без коллизий. Чистый брут)
 
Ответить с цитированием

  #12  
Старый 23.05.2007, 01:05
zl0y
Banned
Регистрация: 13.09.2006
Сообщений: 523
С нами: 10346786

Репутация: 925


По умолчанию

md5(md5($string));

Ломаеться так:
Первым делом подбираем строку к хешу чтобы она была равна 696d29e0940a4957748fe3fc9efd22a3=5f4dcc3b5aa765d61 d8327deb882cf99
а дальше брутим 5f4dcc3b5aa765d61d8327deb882cf99 как обычный хещ так что не вижу сособой сложности ^^ тем более что MD5 работает сотые доли секунды на 1 пентиумах
 
Ответить с цитированием

  #13  
Старый 23.05.2007, 01:36
Helios
Постоянный
Регистрация: 14.01.2007
Сообщений: 459
С нами: 10169427

Репутация: 589
По умолчанию

По-моему не ахти надежно, т.к. количество коллизий с увеличением количества процедур хеширования увеличивается в геометрической прогрессии, т.е. казалось бы расшифровать труднее, а оказывается, в разы проще...
 
Ответить с цитированием

  #14  
Старый 23.05.2007, 10:26
nc.STRIEM
Members of Antichat - Level 5
Регистрация: 05.04.2006
Сообщений: 1,066
С нами: 10578566

Репутация: 1228


По умолчанию

а вот если использовать соль, то это действительно затруднит (естественно есле ты ее не знаеш).


Цитата:
По-моему не ахти надежно, т.к. количество коллизий с увеличением количества процедур хеширования увеличивается в геометрической прогрессии, т.е. казалось бы расшифровать труднее, а оказывается, в разы проще...
да

Последний раз редактировалось nc.STRIEM; 23.05.2007 в 10:30..
 
Ответить с цитированием

  #15  
Старый 23.05.2007, 10:56
+toxa+
[Лишённый самовыражени
Регистрация: 16.01.2005
Сообщений: 1,787
С нами: 11217866

Репутация: 3812


По умолчанию

Увеличивается нагрузка на серв и время расшифровки, вот и всё=\
__________________
 
Ответить с цитированием

  #16  
Старый 23.05.2007, 11:08
Deem3n®
Постоянный
Регистрация: 19.09.2005
Сообщений: 408
С нами: 10863746

Репутация: 519
По умолчанию

md5 это не шифрование
 
Ответить с цитированием

  #17  
Старый 23.05.2007, 11:12
Boccob
Познающий
Регистрация: 04.05.2007
Сообщений: 38
С нами: 10011159

Репутация: 59
По умолчанию

О том, как был взломан crackme 3 Bad guy'a, где брался 30000 раз хеш от пароля
p.s. Правда там пасс был четырехсимвольный...
 
Ответить с цитированием

  #18  
Старый 23.05.2007, 13:01
Raz0r
Участник форума
Регистрация: 07.01.2007
Сообщений: 259
С нами: 10179446

Репутация: 41
По умолчанию

Делаем так, если пишем, например, авторизацию на свой мега-секурный-CMS:
1. Генерируем рандомную соль
2. Используя соль криптуем пароль md5(md5($password . $salt));
3. Пишем в БД и соль и криптованый пароль
4. При авторизации берем отправляемый нам пароль, выдираем из БД соль, криптуем и сравниваем получившееся с паролем в БД
В куках пишем только пароль и можно замуту с сессиями сделать И если сопрут куки и при наличии фишки с сессиями - взлом аккаунта быстро просечется (на своей CMS я сделал логирование подобных попыток авторизации, если вдруг ломятся не с того IP, который прописан в сессии).
 
Ответить с цитированием

  #19  
Старый 23.05.2007, 13:13
Helios
Постоянный
Регистрация: 14.01.2007
Сообщений: 459
С нами: 10169427

Репутация: 589
По умолчанию

Цитата:
Сообщение от Raz0r  
И если сопрут куки и при наличии фишки с сессиями - взлом аккаунта быстро просечется (на своей CMS я сделал логирование подобных попыток авторизации, если вдруг ломятся не с того IP, который прописан в сессии).
Не факт что такая попытка авторизации является взломом. К примеру: сидит человек в инете через GPRS, т.к. сама посебе это штука ненадежная, канал рвется. Человек соединяется еще раз, dhcp выдает ему новый IP. Чел обновляет страницу в браузере, которому на махинации с реконнектами наплевать, и тут твоя CMS орет: "Аааа!!! Подлый хакир!!!".

Некрасиво выходит...

ИМХО, лучше просто включить привязку сессии к IP в настройках PHP. Тогда и сессию не сопрут, и левых логов не будет, и клиента обзывать не будут), просто попросят войти заново.

Последний раз редактировалось Helios; 23.05.2007 в 13:15..
 
Ответить с цитированием

  #20  
Старый 23.05.2007, 13:15
Raz0r
Участник форума
Регистрация: 07.01.2007
Сообщений: 259
С нами: 10179446

Репутация: 41
По умолчанию

Никто и не говорит - просто в системе останется запись об этом - и если пользователь обнаружит, что, скажем, во время его отсутствия кто либо заходил под его пользователем - он может принять какие-либо меры.
p.s. система его пропускает дальше и генерирует новую сессию с его IP.
 
Ответить с цитированием
Ответ



Предыдущая тема Следующая тема
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Найденные пароли в этом разделе (md5) Thanat0z Криптография, расшифровка хешей 8 14.04.2007 23:50
QIP 2005 Build 8010 rijy Skype, IRC, ICQ, Jabber и другие IM 14 20.02.2007 16:59
1 Md5 = 1wmz - Help Vilen Криптография, расшифровка хешей 1 06.07.2006 04:37



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.