![]() |
![]() |
![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 56 Pomógł: 4 Dołączył: 18.01.2012 Ostrzeżenie: (0%) ![]() ![]() |
Cześć.
Pewnie większość z Was kojarzy metody logowania na stronach banków. Jest to wykonane w ten sposób, że musimy podać tylko kilka znaków naszego hasła (reszta jest zablokowana, tak jakby już były wpisane). Zastanawiam się w jaki sposób to działa. Zakładam, że hasła są hashowane, więc w jaki sposób porónywane są ciągi, skoro są niekompletne. Nie jest chyba możliwe, że system wie jakie znaki hasła mamy pod daną cyferką (widoczne na obrazku) i uzupełnia ciąg do porównania z hashem. Do tego "szare" pola są generowane losowo. Interesuje mnie zasada działania, nie proszę o żaden gotowy kod etc. Pozdrawiam. (IMG:style_emoticons/default/smile.gif) Wspomniany obrazek: (IMG:http://i.imgur.com/Dbb16Z6.png) |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Zarejestrowani Postów: 1 527 Pomógł: 438 Dołączył: 28.06.2011 Skąd: Warszawa Ostrzeżenie: (0%) ![]() ![]() |
@pyro
Wyobraź sobie, że wyobrażam (IMG:style_emoticons/default/smile.gif) (zauważ, że mówię tu o włamania na FTP + DB a nie samym DB - wówczas masz rację) salt = xxx... (znany) hash = yyy... metoda hashowania znana (załóżmy) hash = f([literka].salt); mam Ci napisać FORa, który to szybko zgadnie literkę? (IMG:style_emoticons/default/smile.gif) Ile będzie miał iteracji... hmm.. nie wiem ale pewnie ~100 max (IMG:style_emoticons/default/smile.gif) Dalej... mam już "rozszyfrowana" literkę x, potem robie to samo dla y, z, .... Mam wszystkie literki => mam wszystkie hasła - proste? To wszystko w założeniu istnienia jednej soli. Dla różnych soli proces wcale nie jest bardziej skomplikowany. Nic nie pisałem o tęczowych tablicach - są tu zbędne - jesli naprawdę "masz trochę doświadczenia w temacie" to wyjechanie z nimi oznacza jedynie, że nie rozumiesz co napisałem (IMG:style_emoticons/default/smile.gif) @up Zgadzam się - ale to właśnie zakładam a wbrew pozorom trzeba to mieć na uwadzę, że ktoś może się włamać na serwer (co mu też daje dostęp do DB). W przypadku zwykłych haseł liczba kombinacji nawet znając SALT i układ jest ogromna. Dla jednej literki liczba kombinacji jest max 3 cyfrowa (tak na prawdę 2 cyfrowa w praktyce) Ten post edytował Sephirus 17.07.2013, 08:18:38 |
|
|
![]() ![]() |
![]() |
Aktualny czas: 6.10.2025 - 22:56 |