Kilka znaków zamiast całego hasła - jak to działa?

Kilka znaków zamiast całego hasła - jak to działa?

NetBeans Zobacz profil	13.07.2013, 11:18:13 Post #1
Grupa: Zarejestrowani Postów: 56 Pomógł: 4 Dołączył: 18.01.2012 Ostrzeżenie: (0%)	Cześć. Pewnie większość z Was kojarzy metody logowania na stronach banków. Jest to wykonane w ten sposób, że musimy podać tylko kilka znaków naszego hasła (reszta jest zablokowana, tak jakby już były wpisane). Zastanawiam się w jaki sposób to działa. Zakładam, że hasła są hashowane, więc w jaki sposób porónywane są ciągi, skoro są niekompletne. Nie jest chyba możliwe, że system wie jakie znaki hasła mamy pod daną cyferką (widoczne na obrazku) i uzupełnia ciąg do porównania z hashem. Do tego "szare" pola są generowane losowo. Interesuje mnie zasada działania, nie proszę o żaden gotowy kod etc. Pozdrawiam. (IMG:style_emoticons/default/smile.gif) Wspomniany obrazek: (IMG:http://i.imgur.com/Dbb16Z6.png)

Odpowiedzi

Damonsson Zobacz profil	18.07.2013, 13:00:54 Post #2
Grupa: Zarejestrowani Postów: 2 355 Pomógł: 533 Dołączył: 15.01.2010 Skąd: Bydgoszcz Ostrzeżenie: (0%)	Przy 0 znakach ok, szukałby w nieskończoność pewnie. Ale może właśnie dla przykładowo 12 znakowego hasła, gdyby mu podać 6 znaków w dobrej kolejności na dobrych pozycjach, dałoby radę jakoś to w normalnym czasie ogarnąć? No bo jeśli działałoby to tak samo szybko jak dla 0 znaków, no to rzeczywiście wystarczyłoby poznać algorytm i podstawić same xxxxxxxxx i dostałby hasło algorytmem napisanym przez nas. Nie chce mi się wierzyć, że banki trzymają hashe (wiadomo jakoś posolone, ale jednak brakujący element wejściowy ma tylko 1 znak, do reszty można dojść, jesli jest dostęp do bazy i kodu) jednego znaku, czy też hashe haseł składających się z 5 znaków tylko.

redeemer Zobacz profil	18.07.2013, 13:15:16 Post #3
Grupa: Zarejestrowani Postów: 915 Pomógł: 210 Dołączył: 8.09.2009 Skąd: Tomaszów Lubelski/Wrocław Ostrzeżenie: (0%)	Cytat(Damonsson @ 18.07.2013, 14:00:54 ) Przy 0 znakach ok, szukałby w nieskończoność pewnie. Ale może właśnie dla przykładowo 12 znakowego hasła, gdyby mu podać 6 znaków w dobrej kolejności na dobrych pozycjach, dałoby radę jakoś to w normalnym czasie ogarnąć? Zakładając, że możliwych znaków jest tylko 62 (duże i małe litery + cyfry). To w tym przypadku który podałeś musimy sprawdzić maksymalnie 56800235584 różnych haseł. Zakładając że do hashowania używamy SHA512 i sprawdzamy takie hasło używając w tym momencie najszybszego (chyba) "crackera" na GPU jakim jest oclhashcat na GPU AMD hd7970 (76 000 000 sha512/sec - dane ze strony programu) maksymalny czas wyniesie około 740 sekund. Gdy dodamy tylko jedną "niewiadomą" literkę ten czas wynosi już prawie 13 godzin.

Posty w temacie

NetBeans Kilka znaków zamiast całego hasła - jak to działa? 13.07.2013, 11:18:13

b4rt3kk Rzeczywiście, hasło na pewno nie jest przechowywan... 13.07.2013, 11:42:58

NetBeans Tak, ale hashe dla każdego znaku z tablicy ASCII (... 13.07.2013, 11:56:41

b4rt3kk Cytat(NetBeans @ 13.07.2013, 12:56:41... 13.07.2013, 13:16:55

pyro Hasło: przykładowo X znaków czyli X wpisów do tab... 13.07.2013, 12:09:41

adamantd Ciekawe A może tak. 1. rejestrujesz się do system... 13.07.2013, 12:12:40

NetBeans Faktycznie, jedynie soląc hashe znaków byłoby to w... 13.07.2013, 14:36:35

gitbejbe tak jak piszecie powyżej. Systemy bankowe mają t... 14.07.2013, 10:45:00

pyro Warto dodać, że sól powinna być wyłącznie zahardco... 16.07.2013, 10:15:14

drPayton Cytat(pyro @ 16.07.2013, 11:15:14 ) W... 16.07.2013, 20:55:04

pyro Cytat(drPayton @ 16.07.2013, 21:55:04... 17.07.2013, 07:12:25

drPayton Cytat(pyro @ 17.07.2013, 08:12:25 ) N... 17.07.2013, 09:19:18

Sephirus Włączę się bo widzę pewną potencjalną lukę. Przy t... 17.07.2013, 07:38:40

pyro Cześć. Mając trochę doświadczenie w temacie racze... 17.07.2013, 08:09:00

b4rt3kk Jakby solą był np. login użytkownika (lub kilka zn... 17.07.2013, 08:14:24

Sephirus @pyro Wyobraź sobie, że wyobrażam (zauważ, że mó... 17.07.2013, 08:16:25

pyro @Sephirus, według Twojego toku myślenia jak włamyw... 17.07.2013, 08:22:14

sowiq Koledzy, wtrącę się i ja, bo kiedyś myślałem o tak... 17.07.2013, 08:23:57

pyro Cytat(sowiq @ 17.07.2013, 09:23:57 ) ... 17.07.2013, 08:31:43

sowiq Cytat(pyro @ 17.07.2013, 09:31:43 ) C... 17.07.2013, 08:33:35

gitbejbe @sowiq tak przeczytałem, Twój post również. Stwie... 18.07.2013, 06:33:51

sowiq @gitbejbe, Na początku zaznaczę dla pewności, że p... 18.07.2013, 08:23:16

Sephirus @pyro - nie mam zamiaru się z Tobą kłócić o to czy... 17.07.2013, 08:32:50

pyro @Sephirus, chyba należy doprecyzować o jakim przyp... 17.07.2013, 08:41:13

Sephirus @up Masz rację, że mając taki dostęp można zrobić... 17.07.2013, 08:48:55

sowiq @pyro, rzeczy, o których pisałem, tyczą się kodowa... 17.07.2013, 08:50:37

buliq Algorytm może tworzyć zasolony (każdy znak, inna s... 17.07.2013, 08:59:25

sowiq Ucinanie hasha to osłabianie szyfrowania - większa... 17.07.2013, 09:07:36

buliq Cytat(sowiq @ 17.07.2013, 10:07:36 ) ... 17.07.2013, 09:41:55

pyro Cytat(sowiq @ 17.07.2013, 09:50:37 ) ... 17.07.2013, 09:43:09

sowiq Cytat(pyro @ 17.07.2013, 10:43:09 ) C... 17.07.2013, 09:52:25

pyro Przecież mówimy dokładnie o tym samym. Cytat(sow... 17.07.2013, 09:55:42

drPayton Cytat(pyro @ 17.07.2013, 10:43:09 ) (... 17.07.2013, 21:21:55

redeemer Pozwólcie, że wtrącę moje trzy grosze na temat ... 17.07.2013, 09:56:42

pyro Cytat(redeemer @ 17.07.2013, 10:56:42... 17.07.2013, 10:00:15

redeemer @pyro: chodziło mi o to, że ktoś wcześniej napisał... 17.07.2013, 10:15:09

pyro Sorry miałem na myśli "przed i po", ale ... 17.07.2013, 10:18:27

gitbejbe nie wiem nad czym się tutaj rozczulać. Dobrze prze... 17.07.2013, 11:46:04

sowiq @gitbejbe, przeczytałeś wątek? Tu nie chodzi o tak... 17.07.2013, 12:23:38

NetBeans Nie piszę ani systemu bankowego, ani nie mam zamia... 18.07.2013, 08:49:10

redeemer @pyro: Podałem tylko przykład, że pobrana sól z ba... 18.07.2013, 09:58:43

gitbejbe CytatBardzo chętnie dowiem się dlaczego nadal nie... 18.07.2013, 11:04:09

sowiq Cofnij się o jeden post i zerknij w linka, którego... 18.07.2013, 11:40:34

Crozin @NetBeans: Przede wszystkim nie powinieneś w ogóle... 18.07.2013, 12:23:31

phpion Cytat(Crozin @ 18.07.2013, 13:23:31 )... 18.07.2013, 12:28:43

Crozin CytatW przypadku zainstalowania jakiegoś keylogger... 18.07.2013, 12:42:56

Damonsson A co z czymś takim: Hasło: alamakota Hash hasła... 18.07.2013, 12:48:35

redeemer Cytat(Damonsson @ 18.07.2013, 13:48:3... 18.07.2013, 12:52:09

nospor CytatSkrypt PHP, przekazujący litery z pozycjami, ... 18.07.2013, 12:51:43

freemp3 Cytat(Crozin @ 18.07.2013, 13:42:56 )... 18.07.2013, 12:56:32

phpion @Damonsson: Pomysł moim zdaniem chybiony właśnie z... 18.07.2013, 12:57:33

Damonsson Przy 0 znakach ok, szukałby w nieskończoność pewni... 18.07.2013, 13:00:54

redeemer Cytat(Damonsson @ 18.07.2013, 14:00:5... 18.07.2013, 13:15:16

nospor @Damonsson ale zrozum, ze Twoim sposobem Ty napraw... 18.07.2013, 13:03:10

NetBeans Również zastanawiałem się nad bezpieczeństwem taki... 18.07.2013, 13:10:48

Damonsson No to mój pomysł można włożyć między książki fanta... 18.07.2013, 13:27:20

Crozin CytatPrzy okazji, algorytmy dostarczane przez funk... 18.07.2013, 13:30:09

freemp3 CytatNie chce mi się wierzyć, że banki trzymają ha... 18.07.2013, 13:54:33

NetBeans No dobra, przekonaliście mnie, ale co z tą solą, o... 18.07.2013, 14:03:01

« Następny starszy · PHP · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Forum PHP.pl