Что можно сделать с хэшем?

[tend]

Всем привет!

 

Что вообще может сделать человек, который узнал хэш пароля, но еще не расшифровал его?

И за сколько примерно он его сможет расшифровать, если пароль 8-значный и состоит из букв и цифр? День, неделя, месяц?

[Song]

Что вообще может сделать человек, который узнал хэш пароля, но еще не расшифровал его?

Может войти под тобой на форум.

И за сколько примерно он его сможет расшифровать, если пароль 8-значный и состоит из букв и цифр? День, неделя, месяц?

Смотря какой сложности пароль.

[FatCat]

В 1.3 может войти в форум прямо по хешу, не расшифровывая, подделкой куков.

Без расшифровки в админку не попадет.

Если пароль из случайной комбинации символов, 8-знаки вроде бы брутятся не меньше нескольких дней; если осмысленное слово - по таблицам забрутит в считанные минуты.

[Song]

да и в 2.х может..

там эта феня называется memeber_login_key..

 

Если пароль из случайной комбинации символов, 8-знаки вроде бы брутятся не меньше нескольких дней;

аттака перебором полным набором символов пароля из 8-ми символов будет длится несколько десятков лет..

 

 

ну или что-то того.

вообщем долго

[tend]

Смотря какой сложности пароль.

 

ну, например, tyui65jh

 

аттака перебором полным набором символов пароля из 8-ми символов будет длится несколько десятков лет..

 

мне почему-то кажется, что приведенный для примера пароль будет расшифровывать намного быстрее, чем даже 1 год...

хотя это мое "кажется" ни на чем не основано

[Song]

дело не в пароле, а в способе расшифровки.

Хакер же не знает какие ты символы использовал в пароле.

Поэтому если он выберет полный перебор, я уже выше сказал.

 

Понятно, что если только буквы и цифры, то намного быстрее.

Но может при таком раскладе ничего и не получить.

[tend]

Понятно, что если только буквы и цифры, то намного быстрее.

А какой примерно срок только для букв и цифр? Месяц, больше или меньше? Ответ нужен для того, чтобы знать как часто менять пароль.

[Song]

Да откуда я знаю.

Я чего их каждый день ломаю?

 

Надо не рассчитывать сроки, а закрывать дырки.

[tend]

Надо не рассчитывать сроки, а закрывать дырки.

Уже все известные на данный момент закрыты. Но... как легко догадаться, появиться новые могут в любой момент.

Вот поэтому и хочется оградиться от будущих дырок и тому подобных "нехорошестей". А раз можно, значит надо использовать возможности, а не сидеть и надеяться на то, что больше не найдут.

Я лучше потрачу несколько минут на смену пароля каждые... эй, кто знаком с расшифровкой хэшей? За какое минимальное время можно расшифровать пароль "tyui65jh"?

[Song]

Но... как легко догадаться, появиться новые могут в любой момент.

с чего такая уверенность?

[freeman85]

За какое минимальное время можно расшифровать пароль "tyui65jh"?

есть сервисы в инете которые расшифроывают пароли и собирают базу. Допустим если такой пароль уже ктото взломывал и он уже есть в базе, то "хацкер" получит результат в течении 2-3 минут если нету то будет ждать день два может неделя... если сложный сервис просто откажется его пароля ибо затратно.

"хацкер" целенаправлено может сесть за несколько тачек с CPU 5Ghz и тогда держись, если пароль не сложный то он его как семячки =)

 

вот подобный сервис: <a href="http://milw0rm.com/cracker/insert.php" target="_blank">http://milw0rm.com/cracker/insert.php</a> а таких есче куча.

 

Ну эт всё теория, но всеравно никто не застрахован.

Изменено 19 Января 2007 пользователем freeman85

[tend]

с чего такая уверенность?

Люди не идеальны. А то, что они делают... так это совсем... Найти лазейки можно ВСЕГДА. Нельзя найти лазейку только там, где ничего нет. А IPB - ого-го какое поле для практики.

[Song]

ну тогда поставь 14 случайных символов, никто его никогда не побрутит )

[tend]

ну тогда поставь 14 случайных символов, никто его никогда не побрутит )

судя по тому, что однозначного ответа я так и не получил, наверное так и сделаю... 14-значный случайный набор символов придумаю и буду жить спокойно

[Song]

судя по тому, что однозначного ответа я так и не получил

вместо того чтобы ждать попробовал бы сам.

нашёл бы в инете прогу по перебору хэшей, зарубил туда 8 символов или 6 сколько там тебе надо? и он тебе напишет сколько ему дней осталось..

[-Зверик-]

В 2.1 salted md5 сломать намного труднее чем обычный md5. Примерно в 10 раз, чем обычный от 2.0 . Всё, конечно, имхо.

 

так и сделаю... 14-значный случайный набор символов придумаю и буду жить спокойно

'Случайный' пароль придумывать не обязательно (и запомнить действительно случайный набор букв и цифр - это на гране фантастики).

Я поступил так: берем, например какое-то секретное слово или имя, которое ты знаешь, ну или то которое ты можешь быстро запомнить: например название монитора; далее +4 и более цифр, например последние цифры от кодового замка которым ты пользовался в лагере, плюс повторяем эти же цифры еще раз.

Итого, к примеру получаем следующее: multiSync76427642. В результате получаем очень крипкостойкий пароль, который нам легко и просто запомнить. Раз 5 ввел - и запомнил. Чужой человек точно случайно не догадается, взлом a-zA-Z0-9 длинны в 17 символов займет очень долго. Возможно около года.

 

Но я тебя разочарую. Если чудо-хацкеры найдут очередную уязвимость, например sql injection, они могут просто прописать свой хеш взамен твоего, или же дать админ-привилегии обычному пользователю.

 

Так что крипкостойкий пароль это лишь часть уравнения.

 

Также нужно ежедневно (или хотя бы раз в два-три дня) следить за новыми уязвимостями, и патчиться как только их находят. http://milw0rm.com/webapps.php хороший пример сайта, где публикуют всякие експлоиты.

 

Удачи

[Song]

Но я тебя разочарую. Если чудо-хацкеры найдут очередную уязвимость, например sql injection, они могут просто прописать свой хеш взамен твоего, или же дать админ-привилегии обычному пользователю.

э, стоп а зачем искать sql-inj чтобы прописать свой хэш? Все это делается на стороне клиента.

Сервер и его sql inj тут не причём.

[-Зверик-]

вставить его вместо админского в базу.

 

да и вставлять не обязательно, если хочется просто испортить форум, можно DROP какой-нибудь table. )

 

ну или сделать юзера админом.

 

это я к тому, что нужно следить за новыми уязвимостями и не морочить себе голову длинными паролями.

 

[Song]

вставить его вместо админского в базу.

учи матчать.

sql-inj - это запрос select.

ничего он вставлять или обновлять или удалять или дропать не умеет.