![]() |
![]() |
![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 56 Pomógł: 4 Dołączył: 18.01.2012 Ostrzeżenie: (0%) ![]() ![]() |
Cześć.
Pewnie większość z Was kojarzy metody logowania na stronach banków. Jest to wykonane w ten sposób, że musimy podać tylko kilka znaków naszego hasła (reszta jest zablokowana, tak jakby już były wpisane). Zastanawiam się w jaki sposób to działa. Zakładam, że hasła są hashowane, więc w jaki sposób porónywane są ciągi, skoro są niekompletne. Nie jest chyba możliwe, że system wie jakie znaki hasła mamy pod daną cyferką (widoczne na obrazku) i uzupełnia ciąg do porównania z hashem. Do tego "szare" pola są generowane losowo. Interesuje mnie zasada działania, nie proszę o żaden gotowy kod etc. Pozdrawiam. (IMG:style_emoticons/default/smile.gif) Wspomniany obrazek: (IMG:http://i.imgur.com/Dbb16Z6.png) |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Zarejestrowani Postów: 2 148 Pomógł: 230 Dołączył: 26.03.2008 Ostrzeżenie: (0%) ![]() ![]() |
@Sephirus, chyba należy doprecyzować o jakim przypadku to mówimy: jak ktoś ma dostęp i kontrolę nad całym serwerem, to po co miałby łamać jakiekolwiek hashe? Po pierwsze włamywacze głównie włamują się na konkretny serwer bo mają konkretnie w nim jakiś cel. W mniejszości istnieją przypadki, gdzie wykradane są bazy danych, bo np. chcą sprawdzić czy dani użytkownicy nie używają takich samych haseł gdzieś indziej. Ale skoro ma kontrolę nad całym serwerem to dużo prościej i szybciej po prostu napisać skrypt, który loguje wpisywane przez użytkownika hasła gdzieś tam. Dlatego wydawało mi się to dość oczywiste, że mówimy tu o przypadku, gdzie ktoś wykradł sobie nawet całą bazę danych.
Cytat Zwróć szczególną uwagę na to: Cześć. Nie widzę zastosowania... w temacie w ogóle. Nie, nie musisz mi podsyłać linków, wiem o co chodzi. Nie ironizując chętnie się dowiem co masz na myśli. Rozwiń wypowiedź najlepiej z jakimś przykładem. Cytat Mało tego. Przypadek może trochę z dupy, ale wyobraź sobie, że \\\"atakujący\\\" sam ma konto w serwisie, z którego pochodzi baza. Jego konto ma 20-znakowe hasło. I co? I 20 znaków z naszego słownika leci \\\"w pizdu\\\" (IMG:style_emoticons/default/wink.gif) Chcesz mogę podać Ci nawet co to za literka w moim hashu (czyli tak jak atakujący zna swoje hasło). Odkodujesz wtedy cały ciąg znając dokładnie co to za hash i o jakiej długości? Nie sądzę (IMG:style_emoticons/default/wink.gif) Ten post edytował pyro 17.07.2013, 08:44:27 |
|
|
![]() ![]() |
![]() |
Aktualny czas: 15.10.2025 - 02:25 |