Уже все перепробовал, найти немогу принцип кодирования пароля. Система 1-C Битрикс (bitrix). Пароль: test12345 Кодируется: Bj3PO1J4d41f54e85bca8130ebd295e531b5b8e8 Юзал md5 итд, сверял, даже близко не похоже =)
где-то я это уже видел. к паролю вешается снапом строка, затем всё это сворачивается двумя разными алгоритмами. первая - бинарная конвертируется через base64, а к ней потом лепится свертка md5($pass.$str_snap). а что именно интересует? хочешь взломать?)))
хз не помню, рассказывал или нет, но кстати экспериментировал с программой для восстановления пароля по md5 =) пароль 6 символов вскрывается в среднем за полторы минуты. о чем вобще можно говорить =)
это всё от того, что пароли, которые набираются людьми, - это самое слабое место во всех таких системах. если говорить про md5 в чистом виде, то он классифицируется сейчас как "устойчивая хэш-функция". md4 классифицируется как "неустойчивая хэш-функция не рекомендованная к использованию". никто не говорил, что md5 "рекомендованная к использованию". просто в вебе и шифр Цезаря сгодится, если интервал между запросами будет 1 секунда, а после 5ти запросов "вы исчерпали лимит попыток на сегодня". на остальное плевать. тут скорее вопрос в том, что битрикс за свою задницу трясутся, вот и городят огород, взятый невесть у кого. я считаю, что использование 2 типов хэша - это гуд, но салт здесь абсолютно ни к чему.
titch еще раз. ЛЮБОЙ РАНДОМНЫЙ ПАРОЛЬ вскрывается по md5 на моей видеокарте около полутора минут. давай, выкладывай. =) ломану, если видюха с натуги не сгорит. =)
Дурите? Не верю что вскрывается легко :? Если бы вскрывалось на раз, то инет вопил бы об этом, а пока тишина. Ну, если согласны протестировать, вот: 509e6dd1e33f9ff045879c6c7ad35531 Пароль элементарный. upd Эээ, извиняюсь - там Логин+Пароль. Вот только пароль: e913de3a447a6c8e7a0b694d082e41f7
Смысл не в том, чтобы вскрыть пароль, находясь при этом в сферическом вакууме. Вы вскрываете пароль по уже ИЗВЕСТНОМУ хешу. А где вы возьмете этот хеш в реальных условиях? Но нормальных сайтах, он в куках не храниться, базу ломануть также на нормальном сайте проблематично. А если еще и дается n попыток на ввод пароля с интервалом в m секунд каждая, то получается, что в РЕАЛЬНЫХ условиях почти невозможно взломать тот же md5 тупым перебором.
Он не будет угадывать ваш пароль, он будет искать коллизию. Не факт, что коллизия совпадет с вашим паролем. Лучше провести другой эксперимент. Дайте igordata ссылку на сайт с известной системой шифрования и известным логином. На сайте должно стоять ограничение в 5 попыток с интервалом в 20 секунд каждая. После 5-ти неверных попыток - блокировка на сутки. Вот тогда мы проверим, сколько времени потребуется его видюхе, чтобы взломать пароль .
Я знаю что видюха мощная подбирает до миллиона вариантов в секунду =) или даже больше, в интеренете вычитал
Это другое. А тут вопрос об устойчивости MD5-кода к дешифрации. Что-то не верится, что это можно сделать быстро.
Компы все мощнее, надежность MD5 все меньше оО мб через 10 лет расшифрует за 1 минуту как по нашему за 1 месяц =)
Расшифровать можно любой логически зашифрованный код, который не использует ключи. Поэтому все усилия направлены на защиту именно шифра. Для того, чтобы работал любой брутфорс, ему нужен объект сравнения. В сервере ejabberd пароль в базе вообще хранятся в открытом виде и все усилия направлены именно на защиту базы, а не защиту пароля. Если базу взломают, то уже до лампочки, какой вы применяли шифр, у брутфорса будет объект сравнения. Поэтому все эти разговоры, о том, что md5 отстой, потому что на современном компе коллизию можно подобрать за полторы минуты, смешны. Вы сначала объект сравнения заполучите. Также само можно утверждать, что автомобили вольво не безопасны, т.к. если сбросить вольво с пассажиром внутри с высоты 50 км, то пассажир не выживет.
Ну как - "зачем соль". Даже если ты заполучил хэш и подобрал пароль брутфорсом - ты получил набор символов типа "KG*^w229sj". Но пока ты не вычистишь из этого набора соль - тебе этот набор символов пихать некуда. Потому что поле ввода пароля ждет пароля, а не пароля с солью.
Jampire В сервере ejabberd пароль в базе вообще хранятся в открытом виде и все усилия направлены именно на защиту базы, а не защиту пароля. Если базу взломают, то уже до лампочки, какой вы применяли шифр, у брутфорса будет объект сравнения. 2All я не против помучать свою видюху, то т.к. у меня реально нет нужды ничего вашего взламывать, то суперсложные хрени оставьте себе =) мне - лень. Давайте че попроще и говорите сколько символов. Десять компов по четыре топовых видюхи в каждом вздрючат нафик любую базу, если ее унесли. Только надо понимать, что если у вас там такие ценности, что никто никогда для их взлома к таким усилиям и тратам прибегать не будет - то ребят смотрите реальности в лицо - эти сайты НИКТО и НИКОГДА не будет ломать вобще, ибо нафик не нужны никому =) Если унесли базу - то это пипец, есть там соль или нет. В 99% случаев пароли уже никому не нужны - база-то унесена уже Если удалось пробиться в скрипты, то узнать соль тоже не проблема. НО ОНА УЖЕ НЕ НУЖНА! =) Защитить базу или умереть!