Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Kilka znaków zamiast całego hasła - jak to działa?
NetBeans
post
Post #1





Grupa: Zarejestrowani
Postów: 56
Pomógł: 4
Dołączył: 18.01.2012

Ostrzeżenie: (0%)
-----

Cześć.
Pewnie większość z Was kojarzy metody logowania na stronach banków. Jest to wykonane w ten sposób, że musimy podać tylko kilka znaków naszego hasła (reszta jest zablokowana, tak jakby już były wpisane). Zastanawiam się w jaki sposób to działa. Zakładam, że hasła są hashowane, więc w jaki sposób porónywane są ciągi, skoro są niekompletne. Nie jest chyba możliwe, że system wie jakie znaki hasła mamy pod daną cyferką (widoczne na obrazku) i uzupełnia ciąg do porównania z hashem. Do tego "szare" pola są generowane losowo. Interesuje mnie zasada działania, nie proszę o żaden gotowy kod etc.
Pozdrawiam. (IMG:style_emoticons/default/smile.gif)

Wspomniany obrazek:
(IMG:http://i.imgur.com/Dbb16Z6.png)
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
Damonsson
post
Post #2





Grupa: Zarejestrowani
Postów: 2 355
Pomógł: 533
Dołączył: 15.01.2010
Skąd: Bydgoszcz

Ostrzeżenie: (0%)
-----

A co z czymś takim:

Hasło: alamakota

Hash hasła w bazie: ewhf9rh329fheufbssdfunsdifus (byle jaki, byle jakiś ciężki do dopasowania)

Formularz do wpisania: []x[][]xxxx[]

Skrypt PHP, przekazujący litery z pozycjami, porównujący: axamxxxxa do alamakota ; w pętli, podstawia za X wszystkie możliwe znaki, hashuje i porównuje z hasłem w bazie.

Nie trzeba nic rozbijać, dzielić itp.

Tylko problemem może być czas dopasowania do prawdziwego hasła, ale na dobrym sprzęcie optymalnie napisany skrypt, chybaby podołał tematowi?

edit: @up: Nie trzeba podawać całego hasła przy logowaniu do banku, tylko właśnie te wybrane litery.

Ten post edytował Damonsson 18.07.2013, 12:50:18
Go to the top of the page
+Quote Post
redeemer
post
Post #3





Grupa: Zarejestrowani
Postów: 915
Pomógł: 210
Dołączył: 8.09.2009
Skąd: Tomaszów Lubelski/Wrocław

Ostrzeżenie: (0%)
-----

Cytat(Damonsson @ 18.07.2013, 13:48:35 ) *
Tylko problemem może być czas dopasowania do prawdziwego hasła, ale na dobrym sprzęcie optymalnie napisany skrypt, chybaby podołał tematowi?
Nie.
Go to the top of the page
+Quote Post

Posty w temacie
- NetBeans   Kilka znaków zamiast całego hasła - jak to działa?   13.07.2013, 11:18:13
- - b4rt3kk   Rzeczywiście, hasło na pewno nie jest przechowywan...   13.07.2013, 11:42:58
- - NetBeans   Tak, ale hashe dla każdego znaku z tablicy ASCII (...   13.07.2013, 11:56:41
|- - b4rt3kk   Cytat(NetBeans @ 13.07.2013, 12:56:41...   13.07.2013, 13:16:55
- - pyro   Hasło: przykładowo X znaków czyli X wpisów do tab...   13.07.2013, 12:09:41
- - adamantd   Ciekawe A może tak. 1. rejestrujesz się do system...   13.07.2013, 12:12:40
- - NetBeans   Faktycznie, jedynie soląc hashe znaków byłoby to w...   13.07.2013, 14:36:35
- - gitbejbe   tak jak piszecie powyżej. Systemy bankowe mają t...   14.07.2013, 10:45:00
- - pyro   Warto dodać, że sól powinna być wyłącznie zahardco...   16.07.2013, 10:15:14
|- - drPayton   Cytat(pyro @ 16.07.2013, 11:15:14 ) W...   16.07.2013, 20:55:04
|- - pyro   Cytat(drPayton @ 16.07.2013, 21:55:04...   17.07.2013, 07:12:25
|- - drPayton   Cytat(pyro @ 17.07.2013, 08:12:25 ) N...   17.07.2013, 09:19:18
- - Sephirus   Włączę się bo widzę pewną potencjalną lukę. Przy t...   17.07.2013, 07:38:40
- - pyro   Cześć. Mając trochę doświadczenie w temacie racze...   17.07.2013, 08:09:00
- - b4rt3kk   Jakby solą był np. login użytkownika (lub kilka zn...   17.07.2013, 08:14:24
- - Sephirus   @pyro Wyobraź sobie, że wyobrażam (zauważ, że mó...   17.07.2013, 08:16:25
- - pyro   @Sephirus, według Twojego toku myślenia jak włamyw...   17.07.2013, 08:22:14
- - sowiq   Koledzy, wtrącę się i ja, bo kiedyś myślałem o tak...   17.07.2013, 08:23:57
|- - pyro   Cytat(sowiq @ 17.07.2013, 09:23:57 ) ...   17.07.2013, 08:31:43
||- - sowiq   Cytat(pyro @ 17.07.2013, 09:31:43 ) C...   17.07.2013, 08:33:35
|- - gitbejbe   @sowiq tak przeczytałem, Twój post również. Stwie...   18.07.2013, 06:33:51
|- - sowiq   @gitbejbe, Na początku zaznaczę dla pewności, że p...   18.07.2013, 08:23:16
- - Sephirus   @pyro - nie mam zamiaru się z Tobą kłócić o to czy...   17.07.2013, 08:32:50
- - pyro   @Sephirus, chyba należy doprecyzować o jakim przyp...   17.07.2013, 08:41:13
- - Sephirus   @up Masz rację, że mając taki dostęp można zrobić...   17.07.2013, 08:48:55
- - sowiq   @pyro, rzeczy, o których pisałem, tyczą się kodowa...   17.07.2013, 08:50:37
- - buliq   Algorytm może tworzyć zasolony (każdy znak, inna s...   17.07.2013, 08:59:25
|- - sowiq   Ucinanie hasha to osłabianie szyfrowania - większa...   17.07.2013, 09:07:36
|- - buliq   Cytat(sowiq @ 17.07.2013, 10:07:36 ) ...   17.07.2013, 09:41:55
- - pyro   Cytat(sowiq @ 17.07.2013, 09:50:37 ) ...   17.07.2013, 09:43:09
|- - sowiq   Cytat(pyro @ 17.07.2013, 10:43:09 ) C...   17.07.2013, 09:52:25
||- - pyro   Przecież mówimy dokładnie o tym samym. Cytat(sow...   17.07.2013, 09:55:42
|- - drPayton   Cytat(pyro @ 17.07.2013, 10:43:09 ) (...   17.07.2013, 21:21:55
- - redeemer   Pozwólcie, że wtrącę moje trzy grosze na temat ...   17.07.2013, 09:56:42
|- - pyro   Cytat(redeemer @ 17.07.2013, 10:56:42...   17.07.2013, 10:00:15
- - redeemer   @pyro: chodziło mi o to, że ktoś wcześniej napisał...   17.07.2013, 10:15:09
- - pyro   Sorry miałem na myśli "przed i po", ale ...   17.07.2013, 10:18:27
- - gitbejbe   nie wiem nad czym się tutaj rozczulać. Dobrze prze...   17.07.2013, 11:46:04
- - sowiq   @gitbejbe, przeczytałeś wątek? Tu nie chodzi o tak...   17.07.2013, 12:23:38
- - NetBeans   Nie piszę ani systemu bankowego, ani nie mam zamia...   18.07.2013, 08:49:10
- - redeemer   @pyro: Podałem tylko przykład, że pobrana sól z ba...   18.07.2013, 09:58:43
- - gitbejbe   CytatBardzo chętnie dowiem się dlaczego nadal nie...   18.07.2013, 11:04:09
- - sowiq   Cofnij się o jeden post i zerknij w linka, którego...   18.07.2013, 11:40:34
- - Crozin   @NetBeans: Przede wszystkim nie powinieneś w ogóle...   18.07.2013, 12:23:31
|- - phpion   Cytat(Crozin @ 18.07.2013, 13:23:31 )...   18.07.2013, 12:28:43
- - Crozin   CytatW przypadku zainstalowania jakiegoś keylogger...   18.07.2013, 12:42:56
- - Damonsson   A co z czymś takim: Hasło: alamakota Hash hasła...   18.07.2013, 12:48:35
|- - redeemer   Cytat(Damonsson @ 18.07.2013, 13:48:3...   18.07.2013, 12:52:09
- - nospor   CytatSkrypt PHP, przekazujący litery z pozycjami, ...   18.07.2013, 12:51:43
- - freemp3   Cytat(Crozin @ 18.07.2013, 13:42:56 )...   18.07.2013, 12:56:32
- - phpion   @Damonsson: Pomysł moim zdaniem chybiony właśnie z...   18.07.2013, 12:57:33
- - Damonsson   Przy 0 znakach ok, szukałby w nieskończoność pewni...   18.07.2013, 13:00:54
|- - redeemer   Cytat(Damonsson @ 18.07.2013, 14:00:5...   18.07.2013, 13:15:16
- - nospor   @Damonsson ale zrozum, ze Twoim sposobem Ty napraw...   18.07.2013, 13:03:10
- - NetBeans   Również zastanawiałem się nad bezpieczeństwem taki...   18.07.2013, 13:10:48
- - Damonsson   No to mój pomysł można włożyć między książki fanta...   18.07.2013, 13:27:20
- - Crozin   CytatPrzy okazji, algorytmy dostarczane przez funk...   18.07.2013, 13:30:09
- - freemp3   CytatNie chce mi się wierzyć, że banki trzymają ha...   18.07.2013, 13:54:33
- - NetBeans   No dobra, przekonaliście mnie, ale co z tą solą, o...   18.07.2013, 14:03:01

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 6.10.2025 - 05:26
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn