 Kilka znaków zamiast całego hasła - jak to działa? |
| Kilka znaków zamiast całego hasła - jak to działa? |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 56 Pomógł: 4 Dołączył: 18.01.2012 Ostrzeżenie: (0%) 
 |
Cześć.
Pewnie większość z Was kojarzy metody logowania na stronach banków. Jest to wykonane w ten sposób, że musimy podać tylko kilka znaków naszego hasła (reszta jest zablokowana, tak jakby już były wpisane). Zastanawiam się w jaki sposób to działa. Zakładam, że hasła są hashowane, więc w jaki sposób porónywane są ciągi, skoro są niekompletne. Nie jest chyba możliwe, że system wie jakie znaki hasła mamy pod daną cyferką (widoczne na obrazku) i uzupełnia ciąg do porównania z hashem. Do tego "szare" pola są generowane losowo. Interesuje mnie zasada działania, nie proszę o żaden gotowy kod etc. Pozdrawiam. (IMG:style_emoticons/default/smile.gif) Wspomniany obrazek: (IMG:http://i.imgur.com/Dbb16Z6.png) |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 2 148 Pomógł: 230 Dołączył: 26.03.2008 Ostrzeżenie: (0%)
|
Cytat(sowiq @ 17.07.2013, 09:50:37 )  Atak statystyczny co prawda ma zastosowanie do długich tekstów, ale zakładam, że tutaj też dałby radę. Mało tego - możesz na pałę próbować przyporządkować poszczególne litery hashom i sprawdzać, czy uda Ci się zalogować na działającym serwisie. Wcale nie musisz do tego celu używać bruteforce. A jak napisałem wcześniej - jeśli masz konto z 20-znakowym hasłem, to automatycznie znasz 20 znaków ze zdobytego słownika. Cześć. Jeżeli jest sobie "serwisik", gdzie jest wolna rejestracja, da się robić multikonta albo przynajmniej dawać długie hasła to rzeczywiście miałoby sens. Masz rację. Ale biorąc pod uwagę rzeczywistość i gdzie tego typu logowania są stosowane mogłoby być ciężko (IMG:style_emoticons/default/wink.gif) . // EDIT Poza tym wtedy jakiekolwiek solenie ani nawet hashowanie nie miałoby sensu, bo dla każdej literki byś znał jej hash. Sól niepotrzebna (nawet jak unikalna dla każdej literki). Chyba, że generowanie na podstawie zewnętrznych danych związanych z czymś tam np. loginem użytkownika. Cytat(drPayton @ 17.07.2013, 10:19:18 ) Pomyśl, ale Ty. Dlaczego uważasz, że tylko takie dwie możliwości są? A jakie są inne możliwości wstawienia soli dla jednej literki jak nie przed i jak nie po? Przykładowo pomiędzy brzuszkiem literki "b", a jej górnym ogonkiem (IMG:style_emoticons/default/baaasmiley.gif) ? Ten post edytował pyro 17.07.2013, 09:49:19 |
|
|
|
|
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 1 890 Pomógł: 339 Dołączył: 14.12.2006 Skąd: Warszawa Ostrzeżenie: (0%)
|
Cytat(pyro @ 17.07.2013, 10:43:09 ) Cześć. Jeżeli jest sobie "serwisik", gdzie jest wolna rejestracja, da się robić multikonta albo przynajmniej dawać długie hasła to rzeczywiście miałoby sens. Masz rację. Ale biorąc pod uwagę rzeczywistość i gdzie tego typu logowania są stosowane mogłoby być ciężko (IMG:style_emoticons/default/wink.gif) Nie zgodzę się. Załóżmy, że serwis pozwala na hasło o długości max 20 znaków (nie widzę powodu, żeby miało to być mniej). Właśnie takie sobie tworzysz. Znasz już 20 pozycji z x-znakowego "alfabetu". Szukasz w bazie n-znakowych haseł, w którym n-1 znaków pochodzi ze znanych pozycji alfabetu. Wchodzisz na stronę logowania i max x-20 razy próbujesz się zalogować. Jak Ci się uda - znasz kolejny znak alfabetu. Powtarzasz czynność tyle razy, żeby poznać cały alfabet. Zalety takiego podejścia? Możesz mieć 1k-znakową sól i nie wiadomo jaki algorytm hashowania. Atakującego to nie obchodzi, bo słownik może sobie stworzyć niezależnie od tego. Rozumiesz teraz moje podejście? [edit] Cytat Poza tym wtedy jakiekolwiek solenie ani nawet hashowanie nie miałoby sensu, bo dla każdej literki byś znał jej hash. Sól niepotrzebna (nawet jak unikalna dla każdej literki). Chyba, że generowanie na podstawie zewnętrznych danych związanych z czymś tam np. loginem użytkownika. No właśnie tak napisałem w moim pierwszym poście tutaj. Jeśli Ci umknął, to zajrzyj [KLIK]. Ten post edytował sowiq 17.07.2013, 09:54:34 |
|
|
|
NetBeans Kilka znaków zamiast całego hasła - jak to działa? 13.07.2013, 11:18:13 
b4rt3kk Rzeczywiście, hasło na pewno nie jest przechowywan... 13.07.2013, 11:42:58 NetBeans Tak, ale hashe dla każdego znaku z tablicy ASCII (... 13.07.2013, 11:56:41 
b4rt3kk Cytat(NetBeans @ 13.07.2013, 12:56:41... 13.07.2013, 13:16:55 pyro Hasło: przykładowo X znaków
czyli X wpisów do tab... 13.07.2013, 12:09:41 adamantd Ciekawe
A może tak.
1. rejestrujesz się do system... 13.07.2013, 12:12:40 NetBeans Faktycznie, jedynie soląc hashe znaków byłoby to w... 13.07.2013, 14:36:35 gitbejbe tak jak piszecie powyżej.
Systemy bankowe mają t... 14.07.2013, 10:45:00 pyro Warto dodać, że sól powinna być wyłącznie zahardco... 16.07.2013, 10:15:14 drPayton Cytat(pyro @ 16.07.2013, 11:15:14 ) W... 16.07.2013, 20:55:04 pyro Cytat(drPayton @ 16.07.2013, 21:55:04... 17.07.2013, 07:12:25 drPayton Cytat(pyro @ 17.07.2013, 08:12:25 ) N... 17.07.2013, 09:19:18 Sephirus Włączę się bo widzę pewną potencjalną lukę. Przy t... 17.07.2013, 07:38:40 pyro Cześć.
Mając trochę doświadczenie w temacie racze... 17.07.2013, 08:09:00 b4rt3kk Jakby solą był np. login użytkownika (lub kilka zn... 17.07.2013, 08:14:24 Sephirus @pyro
Wyobraź sobie, że wyobrażam (zauważ, że mó... 17.07.2013, 08:16:25 pyro @Sephirus, według Twojego toku myślenia jak włamyw... 17.07.2013, 08:22:14 sowiq Koledzy, wtrącę się i ja, bo kiedyś myślałem o tak... 17.07.2013, 08:23:57 pyro Cytat(sowiq @ 17.07.2013, 09:23:57 ) ... 17.07.2013, 08:31:43 sowiq Cytat(pyro @ 17.07.2013, 09:31:43 ) C... 17.07.2013, 08:33:35 gitbejbe @sowiq
tak przeczytałem, Twój post również. Stwie... 18.07.2013, 06:33:51 sowiq @gitbejbe,
Na początku zaznaczę dla pewności, że p... 18.07.2013, 08:23:16 Sephirus @pyro - nie mam zamiaru się z Tobą kłócić o to czy... 17.07.2013, 08:32:50 pyro @Sephirus, chyba należy doprecyzować o jakim przyp... 17.07.2013, 08:41:13 Sephirus @up
Masz rację, że mając taki dostęp można zrobić... 17.07.2013, 08:48:55 sowiq @pyro, rzeczy, o których pisałem, tyczą się kodowa... 17.07.2013, 08:50:37 buliq Algorytm może tworzyć zasolony (każdy znak, inna s... 17.07.2013, 08:59:25 sowiq Ucinanie hasha to osłabianie szyfrowania - większa... 17.07.2013, 09:07:36 buliq Cytat(sowiq @ 17.07.2013, 10:07:36 ) ... 17.07.2013, 09:41:55 pyro Przecież mówimy dokładnie o tym samym.
Cytat(sow... 17.07.2013, 09:55:42 drPayton Cytat(pyro @ 17.07.2013, 10:43:09 ) (... 17.07.2013, 21:21:55 redeemer Pozwólcie, że wtrącę moje trzy grosze na temat ... 17.07.2013, 09:56:42 pyro Cytat(redeemer @ 17.07.2013, 10:56:42... 17.07.2013, 10:00:15 redeemer @pyro: chodziło mi o to, że ktoś wcześniej napisał... 17.07.2013, 10:15:09 pyro Sorry miałem na myśli "przed i po", ale ... 17.07.2013, 10:18:27 gitbejbe nie wiem nad czym się tutaj rozczulać. Dobrze prze... 17.07.2013, 11:46:04 sowiq @gitbejbe, przeczytałeś wątek? Tu nie chodzi o tak... 17.07.2013, 12:23:38 NetBeans Nie piszę ani systemu bankowego, ani nie mam zamia... 18.07.2013, 08:49:10 redeemer @pyro: Podałem tylko przykład, że pobrana sól z ba... 18.07.2013, 09:58:43 gitbejbe CytatBardzo chętnie dowiem się dlaczego
nadal nie... 18.07.2013, 11:04:09 sowiq Cofnij się o jeden post i zerknij w linka, którego... 18.07.2013, 11:40:34 Crozin @NetBeans: Przede wszystkim nie powinieneś w ogóle... 18.07.2013, 12:23:31 phpion Cytat(Crozin @ 18.07.2013, 13:23:31 )... 18.07.2013, 12:28:43 Crozin CytatW przypadku zainstalowania jakiegoś keylogger... 18.07.2013, 12:42:56 Damonsson A co z czymś takim:
Hasło: alamakota
Hash hasła... 18.07.2013, 12:48:35 redeemer Cytat(Damonsson @ 18.07.2013, 13:48:3... 18.07.2013, 12:52:09 nospor CytatSkrypt PHP, przekazujący litery z pozycjami, ... 18.07.2013, 12:51:43 freemp3 Cytat(Crozin @ 18.07.2013, 13:42:56 )... 18.07.2013, 12:56:32 phpion @Damonsson:
Pomysł moim zdaniem chybiony właśnie z... 18.07.2013, 12:57:33 Damonsson Przy 0 znakach ok, szukałby w nieskończoność pewni... 18.07.2013, 13:00:54 redeemer Cytat(Damonsson @ 18.07.2013, 14:00:5... 18.07.2013, 13:15:16 nospor @Damonsson ale zrozum, ze Twoim sposobem Ty napraw... 18.07.2013, 13:03:10 NetBeans Również zastanawiałem się nad bezpieczeństwem taki... 18.07.2013, 13:10:48 Damonsson No to mój pomysł można włożyć między książki fanta... 18.07.2013, 13:27:20 Crozin CytatPrzy okazji, algorytmy dostarczane przez funk... 18.07.2013, 13:30:09 freemp3 CytatNie chce mi się wierzyć, że banki trzymają ha... 18.07.2013, 13:54:33 NetBeans No dobra, przekonaliście mnie, ale co z tą solą, o... 18.07.2013, 14:03:01  |
|
Aktualny czas: 26.12.2025 - 13:55 |
