Вытаскиваем пароли

[[zi]]

Ок, тогда что ты понимаешь под "расшифровался".

Подбором?

Конечно подбором, по другому никак. И твой пароль "1" расшифровывается мнгновенно. Мне гласное чтобы ты понял какой бред ты несешь говоря "ждать до весны".

Вся шифка в том, чтобы знать алгоритм шифрования, тогда расшифровать такой легкий пароль проблем не составляет.

 

ты извини, но md5 хэши не декодируются. Это знает любой малолетний ребёнок. Максимум - они подбираются перебором.

Когда речь идет о пароли "1" то это не суть важно.

Ну что Ты будешь делать?

[Song]

браво!

тогда расшифруй мне ещё вот этот: 73efefb4dd16f4352dd8eeb0bce0fa6b тоже за секунду!

(а то я там тебе не верю, ведь ты оригинал знал!)

 

И твой пароль "1" расшифровывается мнгновенно.

мил человек, дык ведь в "28c8edde3d61a0411511d3b1866f0636" закодирована уже совсем не единичка! Ты чего неужели не догоняешь?

[[zi]]

мил человек, дык ведь в "28c8edde3d61a0411511d3b1866f0636" закодирована уже совсем не единичка! Ты чего не догоняешь?

Блин.. как можно быть таким упертым, я тебе тут втираю про алгоритмы, пытаюсь что-то объяснить, а ты не в какую.

тогда расшифруй мне ещё вот этот: 73efefb4dd16f4352dd8eeb0bce0fa6b тоже за секунду!

(а то я там тебе не верю, ведь ты оригинал знал!)

Ок, надеюсь пас там циферный и не много символов? А то фиг знает что ты там зашифруешь а потом будешь говорить, что я был не прав.

[Song]

Ок, надеюсь пас там циферный и не много символов? А то фиг знает что ты там зашифруешь а потом будешь говорить, что я был не прав.

какой нах циферный! это пасс закодированный также как "28c8edde3d61a0411511d3b1866f0636" т.е. md5 от md5

 

 

Блин.. как можно быть таким упертым, я тебе тут втираю про алгоритмы, пытаюсь что-то объяснить, а ты не в какую.

какие нафик алгоритмы в md5? >

Для md5 нет алгоритма расшфировки!

[[zi]]

Я спрашиваю изначально

[[zi]]

какие нафик алгоритмы в md5? >

Для md5 нет алгоритма расшфировки!

Ой..ой...))))

Не смеши, ок?

[Song]

Не, всё я умываю руки.

[[zi]]

Мда.. ну конечно, когда человеку нечего ответить, лучше поставить предупреждение.

СПЕЦИАЛЬНО! ДЛЯ ТЕХ КТО В БРОНЕПОЕЗДЕ! ПОЯСНЕНИЯ ОТ МЕНЯ.

Видимо Song не способен что то объяснить, а только спорить.

Вот смотри

select md5('1')

= c4ca4238a0b923820dcc509a6f75849b

select md5('c4ca4238a0b923820dcc509a6f75849b')

= 28c8edde3d61a0411511d3b1866f0636

Здесь идет шифровка по алгоритму md5(md5($pass))

А ты никогда не думал своей головой, что подбирать пароль можно по такому же алгоритму?! Может мне для тебя скрипт на php набросать или ты сам додумаешься наконец-то?

Задаем алгоритм программе\скрипту и во время перебора, допустим по цифрам он каждую цифру будет шифровать уже дважды, точно по такому же алгоритму. Переберается цифра "1", сначало она кодируется в мд5, потом кодируется в мд5 то, что получилось и ВУАЛЯ, он совпадет с заданым, а значит мы имеем пас!

Ты что не понимаешь о чем я говорю? Я с самого начала твердил, что подобрать можно такой легкий пароль элементарно зная алгоритм как он зашифрован! Хоть 5 раз ты его шифруй. Точно так же с солью обстаит дело. Мы знаем алгоритм шифрования pass_hash , знаем что там пароль и соль. Если мы знаем соль, то её можно подставить и если пас легкий, то мы его дабудем!

Короче мда.. пока тебе видео не снять или скрипт на пхп не написать ты не поймешь всё равно.

 

Кстати ты так и не ответил про base64.

Я просто в шоке, что ты не понимаешь таких элементарных вещей.

[Song]

Ну а с чего ты взял что я закодирую в форуме md5 от md5?

Мля я закодирую md5 от md5 от md5

md5 от md5 было для примера!

 

Почему я должен закодировать и рассказать, что "Zi, расшифруй плз, только пожалуйста имей ввиду, что md5 от md5 я сделал!. Желаю удачи, дорогой друг и товарищ Zi."

[[zi]]

Даааа.. ну конечо, теперь началось "с чего ты взял" и тд.

Ты текст читаешь? Или сразу ответ пишешь?

ГЛАВНОЕ ЗНАТЬ АЛГОРИТМ ШИФРОВАНИЯ

[Song]

Это ты его не читаешь! Куйню развёл на пустом месте.

Ну как кстати там взламывания паса?

[[zi]]

А алгоритм шифрования в IPB известен, изначально мы говорим о нём.

Тоесть мд5 от мд5. И когда ты гвоорил "ждать до весны" ты говорил тоже об мд5 от мд5. Что, ты это будешь отрецать?

Вот так вот, поэтому я и говорил о Не Знании.

 

Тот хэш зашифрован по другому алгоритму.

Читай всё, что я сказал выше.

[Song]

ты больной, извини.

Прочитай пожалуйста ещё раз топик.

 

Везде md5 от md5 было сказано для примера, как один из способов увеличить секьюрность пароля. Понятно, что при этом я никому не собираюсь сказать тип алгоритма, а php ты посмотреть не сможешь.

[[zi]]

Везде md5 от md5 было сказано для примера

Это не пример, в ИПБ так и есть.

Понятно, что при этом я никому не собираюсь сказать тип алгоритма, а php ты посмотреть не сможешь.

Ну а как же я узнал алгоритм шифрования в ИПБ?

Или тебе сказать в каком файле на какой строчке это находится? Сам найти не можешь?

Алгоритм из сорцов узнать легко, а в итоге и расшифровать, если пароль не сложный. И ждать до весны не надо. Поэтому в форумах IPB используется ещё и соль, которая хранится в открытом виде в БД и добавляется к паролю, чтобы расшифровать хэш не зная соли было невозможно. А если верить тебе, то соль вообще не нужна, достаточно побольше раз это всё зашифровать)))

Всё, думаю тут и так всё понятно. Опять же, не надо говорить о том, в чем точно не уверен.

Пора заканчивать это дискуссию.

[Destruction]

ты больной, извини.

Прочитай пожалуйста ещё раз топик.

 

Везде md5 от md5 было сказано для примера, как один из способов увеличить секьюрность пароля. Понятно, что при этом я никому не собираюсь сказать тип алгоритма, а php ты посмотреть не сможешь.

md5() от md5() повысит время подбора пароля примерно в два раза, если взломщик разумеется не дурак.

 

Если реально хочется поднять защищённость форума, то следует делать что-то вроде md5( $pass . "+secure" ), не во вложении сила - сила в модификации алгоритма.

Изменено 27 Октября 2006 пользователем Destruction

[[zi]]

Destruction

 

Обсолютно прав. Именно в этом и заключается суть соли.

И так же ты прав, что время подбора увеличивается в два раза, но никак уж не с одной секунды сразу "до следующей весны". Тут уже всё зависит от сложности зашифрованного пароля. Циферный пароль до 7 символов всё равно расшифруется меньше, чем за минуту.

[Destruction]

2 [zi], на самом деле есть ещё много мелких аспектов.

 

Например в жизни не видел на паблике программ для расшифровки двойного MD5, хотя может быть в Passwords Pro появилось, не смотрел.

 

Тогда, для расшифровки двойного MD5 придётся создать своё ПО, которое вероятнее всего будет на порядок медленее.

 

Итого - двойной MD5 конечно повышает безопасность, но против профессионала потребуется более сложная защита.

 

PS: Из жизни - когда я конкретно изучал криптографию, я на PHP написал маленькую утилиту, которая быстро определяет метод шифрования с уровнем взложенности до 10 включительно, хотя исправить пару цифр - и будет сканировать глубже, но это обычно не требуется, так, что напиши ты хоть 10 раз MD5, я в течении нескольких секунд тебя раскушу, и поставлю взламывать пароль (если мне вдруг ппц сильно приспичит).

 

Что бы такого не случилось - можно например добавлять к полученному паролю произвольную строку, а дальше использовать обычные функции шифрования, т.е. использовать нестандартный метод шифрования, который выявить нетривиально.

Изменено 27 Октября 2006 пользователем Destruction

[[zi]]

[zi], на самом деле есть ещё много мелких аспектов.

 

Например в жизни не видел на паблике программ для расшифровки двойного MD5, хотя может быть в Passwords Pro появилось, не смотрел.

 

Тогда, для расшифровки двойного MD5 придётся создать своё ПО, которое вероятнее всего будет на порядок медленее.

В последнем PasswordsPro есть возможность расшифровки по такому алгоритму и не только по такому. Так же сразу перебор хэша с солью, если соль известна.

А скриптик на php набросать не сложно.

Вообще есть переборщики хешей md5 на php, то есть велосипед изобретать не нужно. Просто чуть чуть отредактить сорцы и изменить алгоритм перебора.

То есть такая фраза как "Создание собственного ПО" - это чуть-чуть приувеличено.

Воообще всё началось со спора с Song. Думаю теперь понятно, что он был не прав.

Что бы такого не случилось - можно например добавлять к полученному паролю произвольную строку, а дальше использовать обычные функции шифрования, т.е. использовать нестандартный метод шифрования, который выявить нетривиально.

Да можно вообще использовать не md5.

Главное, что то, что находится в куках конечно же расшифровать невозможно не зная соли. Соль хранится в БД.

Вывод: Не нужно менять никакие алгоритмы, нужно просто обеспечивать безопасноть с другой стороны, чтобы злоумышленник не получил доступ к БД.

[Destruction]

В последнем PasswordsPro есть возможность расшифровки по такому алгоритму и не только по такому. Так же сразу перебор хэша с солью, если соль известна.

А скриптик на php набросать не сложно.

Вообще есть переборщики хешей md5 на php, то есть велосипед изобретать не нужно. Просто чуть чуть отредактить сорцы и изменить алгоритм перебора.

То есть такая фраза как "Создание собственного ПО" - это чуть-чуть приувеличено.

Воообще всё началось со спора с Song. Думаю теперь понятно, что он был не прав.

Объяснить разницу между "скриптик на PHP" и мощная программа на ассемблере ? -)

 

Я ничуть не преувеличиваю, MD5 - не скрывает свой алгоритм. Т.е. реализовывать его лучше на машинном языке для наиболее быстрейшего перебора паролей.

 

Разница в скорости между "скриптиком на PHP" и аналогом на машинном языке будет В РАЗЫ !!!

 

А вообще - продвинутый люди это уже давным давно делают на уровне железа, т.к. как не крути - программы работают в любом случае через железяки, так, что ускорять надо до предела -)

Изменено 27 Октября 2006 пользователем Destruction

[GiV]

Миша, ты не прав.

 

Зная алгоритм (md5 от md5) можно подобрать. В случае IPB мы алгоритм знаем.

[Destruction]

Миша, ты не прав.

 

Зная алгоритм (md5 от md5) можно подобрать. В случае IPB мы алгоритм знаем.

Всегда поражался тому, как некоторым удаётся в две строчки описать то, из чего я делаю целую проблему.

 

Сорри за оффтоп, просто правда удивлён, хотя не до конца понимаю смысл фразы.

[GiV]

Чего не ясно мы говорим не про алгоритм шифрования md5 (хотя кто криптографию знает, понимает что MD совсем не шифрует), а про алгоритм шифрования в системе, в данном случае IPB.

 

Так вот тут он md5 от md5. Для слабых умом могу еще блок схему нарисовать.

[Garret]

PS: Из жизни - когда я конкретно изучал криптографию, я на PHP написал маленькую утилиту, которая быстро определяет метод шифрования с уровнем взложенности до 10 включительно.

Было бы интересно глянуть

[Denny]

Например в жизни не видел на паблике программ для расшифровки двойного MD5, хотя может быть в Passwords Pro появилось, не смотрел.

Ответ дали, но ты явно оччень давно не следил за этой программой, т.к. алгоритм криптования в ней появился год назад или даже больше

PS: Из жизни - когда я конкретно изучал криптографию, я на PHP написал маленькую утилиту, которая быстро определяет метод шифрования с уровнем взложенности до 10 включительно, хотя исправить пару цифр - и будет сканировать глубже, но это обычно не требуется, так, что напиши ты хоть 10 раз MD5, я в течении нескольких секунд тебя раскушу, и поставлю взламывать пароль (если мне вдруг ппц сильно приспичит).

Garret, статья об этом где-то была, но что-то ссылку найти не могу

[Destruction]

PS: Из жизни - когда я конкретно изучал криптографию, я на PHP написал маленькую утилиту, которая быстро определяет метод шифрования с уровнем взложенности до 10 включительно.

Было бы интересно глянуть

Хмм, найти бы ещё -)

 

На первое место не претендую, т.к. с математикой знаком плохо и незнаю, как сделать это более кратко.

 

Впринципе - наваять не сложно, вот (весь вечер ваял, так, чтобы было красива):

//---------------------------------------------------
// Определение алгоритма криптования строки
// (c) 2006, Destruction
// Копирование без разрешения автора - запрещено!
//---------------------------------------------------
$string = "123"; // исходная строка
$hash = "9adcb29710e807607b683f62e555c22dc5659713"; // хеш строки
$encl = 5; // максимальная вложенность алгоритма
$fncs = array( // функции которые используем
"crc32",
"md5",
"sha1",
"nocrypt" // для перебора различных вариантов меньшей вложенности, чем указана в ecnl.
);

// функция "криптования", см. выше зачем.
function nocrypt( $s ){
return $s;
}

// вообще эта функция не нужна, просто так PHP-код красивее верстается, хотя глазу это и не видно -) Полезно, если кто-то решит покапаться.
function getOffset( $n ){
$offset = "";
for( $i = 0; $i < $n; $i ++ ){
	$offset .= "   ";
}
return $offset;
}
function genCicle( $encl, $fncs, $str ){
$cnt = count( $fncs );
$res = "";
$off = 0;
// start cicles
for( $i = 0; $i < $encl; $i ++ ){
	$res .= getOffset( $off ) . 'for( $i[' . $i . '] = 0; $i[' . $i . '] < ' . $cnt . '; $i[' . $i . '] ++ ){' . "\r\n";
	$off ++;
}
// strart action
$res .= getOffset( $off ) . 'eval( \'$result[\\\'\' . ';
for( $i = 0; $i < $encl; $i ++ ){
	$res .= '$fncs[ $i[ ' . $i .  ' ] ] . ":" . ';
}
$res .= '\'\\\'] = \' . ';
// proccess action
for( $i = 0; $i < $encl; $i ++ ){
	$res .= '$fncs[ $i[ ' . $i . ' ] ]' . ' . "(" . ';
}
// do action
$res .= "'\"" . $str . "\"'";
// end action
for( $i = 0; $i < $encl; $i ++ ){
	$res .= ' . ")"';
}
$res .= " . \";\" );\r\n";
// close cicles
for( $i = 0; $i < $encl; $i ++ ){
	$off --;
	$res .= getOffset( $off ) . "}\r\n";
}
return $res;
}
// нарисуем PHP-код для указанной вложенности
$ev = genCicle( $encl, $fncs, $string );
// и собственно исполним этот код
eval($ev);
// исключим повторяющиеся варианты, разукрасим покрасивше.
foreach( $result as $in => $val ){
if( $val == $hash ){
	$p = substr($in, 0, strlen($in)-1);
	$p = explode( ":", $p );
	$pr = Array();
	for( $i = 0; $i < count( $p ); $i++ ){
		if( $p[ $i ] != "nocrypt" ){
			$pr[] = $p[ $i ];
		}
	}
	$p = implode( "_", $pr );
	$prints[ $p ] = $hash;
}
}
// распечатаем результат
foreach( $prints as $method => $hash ){
echo "\$$method = '$hash';<br />";
}

 

PS: Нравится мне всякую фигню писать..

Изменено 28 Октября 2006 пользователем Destruction