MD5 prolomena
jasně, to vim, ale prej ještě tímhle způsobem, že při skisknutí tlačítka se to pomocí JS zašifruje. tak nevim nevim ... čtu docela velkou knížku o dhtml a css, a nikde to tam nebylo
tak jsem se dočetl právě, že náš kryptolog vyvinul novej způsob, jak získat kolizi md5 do 30 vteřin, jinými slovy do 30 vteřin na obyč notebooku vám rozlouskne vaše zahashované heslo :) :P
kdyžtak pro zajímavost:
http://www.root.cz/clanky/tunely-v-hasovacich-funkcich-kolize-md5-do-minuty/
http://www.root.cz/clanky/tunely-v-hasovacich-funkcich-kolize-md5-do-minuty/
"do 30 vteřin na obyč notebooku vám rozlouskne vaše zahashované heslo"
A to právě tak NENÍ. To, že najde heslo, je pouze neschopnost uživatele si vymyslet silné heslo, pak vám heslo nikdo nevyluští. Luštitel tak maximálně může najít řetězec, který po md5 transformaci má stejný hash, jako to původní heslo. Tedy není třeba najít přímo původní heslo. Kritizuji pouze značně nepřesné vyjádření Jezdce.
Vymyšlený, nefunkční, ilustrační příklad:
Původní heslo a jeho hash
"AHOJ" --> "42424242424242424242424242424242"
Nalezené řešení jehož výsledkem je stejný hash:
"ghj43789frhwencreip8h439hc3u8914y3h7823d4h8"--> "42424242424242424242424242424242"
A to právě tak NENÍ. To, že najde heslo, je pouze neschopnost uživatele si vymyslet silné heslo, pak vám heslo nikdo nevyluští. Luštitel tak maximálně může najít řetězec, který po md5 transformaci má stejný hash, jako to původní heslo. Tedy není třeba najít přímo původní heslo. Kritizuji pouze značně nepřesné vyjádření Jezdce.
Vymyšlený, nefunkční, ilustrační příklad:
Původní heslo a jeho hash
"AHOJ" --> "42424242424242424242424242424242"
Nalezené řešení jehož výsledkem je stejný hash:
"ghj43789frhwencreip8h439hc3u8914y3h7823d4h8"--> "42424242424242424242424242424242"
šmarja.. a neni to jedno? stejně vám do databáze nikdo cizí nelveze..
a i kdyby vlezl, tak by se v ní v 85% nevyznal, protože když příjdu k nějaký cizí databázi, tak jen zírám, co to ten člověk vymýšlel... (typy sloupců, indexy, struktura jako taková)
Struktura tabulky uživatelů je velice snadno odhadnutelná, stejně tak její název. Takže když někdo cizí vleze do databáze, má hashe hesel během minuty. Pak už si s tím může hrát.
Doplnil bych ilustrační příklad zbi:
Že by to našlo to dlouhé "ghj43789frhwencreip8h439hc3u8914y3h7823d4h8" řešení, to by ještě nevadilo. Problém u toho hledání je v tom, že většinou naleznete řetězec plný netisknutelných znaků. Už vidím, jak to rvete do prohlížeče :)
Doplnil bych ilustrační příklad zbi:
Že by to našlo to dlouhé "ghj43789frhwencreip8h439hc3u8914y3h7823d4h8" řešení, to by ještě nevadilo. Problém u toho hledání je v tom, že většinou naleznete řetězec plný netisknutelných znaků. Už vidím, jak to rvete do prohlížeče :)
no, kdyz nekdo cizi vleze do databaze vetsinou je mu uplne jedno, jaka jsou vase hesla, protoze veskera data ma k dispozici bez nich... navic je muze menit a nemusi nic pocitat...
MD5 JS:
http://pajhome.org.uk/crypt/md5/md5src.html
http://pajhome.org.uk/crypt/md5/md5src.html
pro Zbi:
kritiku přijímám, ovšem je vidět, že si to nečetl. Ten kryptolog to nedělá formou pokus omyl ..... že hledá dva shodné hashe. On to tam popisuje dopodrobna, jak ten hash rozebere a pak hledá nějaké tunely a ... prostě jde asi o složitější informační matematiku a statistiku. Podívej se na ty obrázky, které tam ukazuje. Myslím, že s hádáním shodného hashe to nemá vůbec nic společného. Právě, že je více způsobů, tak on to dělá po svém :-) jinak by nebyl asi známej po celým světě tím, že rozlousknul md5 jiným způsobem než hádáním, ale rozebráním funkcí :-)
kritiku přijímám, ovšem je vidět, že si to nečetl. Ten kryptolog to nedělá formou pokus omyl ..... že hledá dva shodné hashe. On to tam popisuje dopodrobna, jak ten hash rozebere a pak hledá nějaké tunely a ... prostě jde asi o složitější informační matematiku a statistiku. Podívej se na ty obrázky, které tam ukazuje. Myslím, že s hádáním shodného hashe to nemá vůbec nic společného. Právě, že je více způsobů, tak on to dělá po svém :-) jinak by nebyl asi známej po celým světě tím, že rozlousknul md5 jiným způsobem než hádáním, ale rozebráním funkcí :-)
Jezdec:
OK, ale on má na začátku cílový hash. A snaží se vytvořit nějaký řetězec, který má stejný hash. Jistě, jeho algoritmus zkoumá jakési tunelu vstup -> odezva, ale to neznamená, že najde to původní heslo. Najde (rychleji) nějaký vyhovující řetězec.
Nípal:
Jestliže existuje původní heslo a pak nějaký bláznivý řetězec plný divných znaků, které mají stejný hash, je značně pravděpodobné, že budou existovat i další řešení a některá třeba budou obsahovat jen "přijatelné" znaky.
OK, ale on má na začátku cílový hash. A snaží se vytvořit nějaký řetězec, který má stejný hash. Jistě, jeho algoritmus zkoumá jakési tunelu vstup -> odezva, ale to neznamená, že najde to původní heslo. Najde (rychleji) nějaký vyhovující řetězec.
Nípal:
Jestliže existuje původní heslo a pak nějaký bláznivý řetězec plný divných znaků, které mají stejný hash, je značně pravděpodobné, že budou existovat i další řešení a některá třeba budou obsahovat jen "přijatelné" znaky.
zbi: Ale je to málo pravděpodobné. Spíš bude existovat řada bláznivých řetězců a jeden přijatelný.
:D teda to jsou diskuze, to vám povim :)
Nové příspěvky
Aktivace PHP
PHP
navýšení php
Soubor .env
Nevykonává se PHP
QR knihovna v PHP?
Aktivace PHP
samovolně se mi z kodu odmazává \
Chyba stránky
dolovani dat z html tabulky
kontaktní formulář
Aktualizace PHO
rozšíření přílohy
CRON
Ppocitadlo
NGINX
Drupal
Chyba po nahrání PHPBB
verze PHP
Nedefinováno __DIR__
PHP error NotCallableException
Nefungující funkce
htaccess 500 error
Nefunkční json_decode(...)
Zobrazení chyb v php
Další témata
STATUS
FTP
HTTP
SQL
PHP
© 2002 - 2024 Web zdarma s.r.o. — zvládnete to sami