 podwójne hashowanie haseł, ogólnie n-hashowanie |
| podwójne hashowanie haseł, ogólnie n-hashowanie |
Post
#1
|
|
|
Grupa: Moderatorzy Postów: 36 557 Pomógł: 6315 Dołączył: 27.12.2004  |
w związku z lekkim OT w pewnym temacie, który rozwinął się w ciekawą dyskusję, temat rozdzielam. Dotyczy on:
Czy podwójne (n-te) hashowanie hasła jest bezpieczniejsze, od pojedynczego hashowania md5 sie nie odkoduje. mozna trafic na rozwiązanie metodą brute force. Dla tej metody jednak jest bez roznicy, czy ty dane haslo przepuścic przez md5 raz, dwa czy milion razy (IMG:style_emoticons/default/wink.gif) Posty będące duplikacją postów już zawartych w temacie, będą bez ostrzeżenia usuwane. Ma to zapobiedz tworzeniu się zbędnego śmietnika |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 159 Pomógł: 1 Dołączył: 31.08.2005 Ostrzeżenie: (0%) 
|
nospor: dla bezpośredniego ataku na strone (remote) mało co ma sens. Zakładając, że serwer odpowiada czy jest dobre hasło czy nie w czasie powiedzmy 0,5 s. (co jest czasem chyba bardzo dobrym (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) , daje to 172 800 zapytań na dobę, przy haśle powiedzmy pięcio literowym (małe litery bez cyfr i innych znaków) przy najbardziej pesymistycznym podejściu
Kod 24^1+24^2+24^3+24^4+24^5 daje to 8 308 824 hashów Czyli jakieś 48 dni, nie licząc padów serwera (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) Exploitów do wyciągnięcia haseł z phpBB jest masa. ...a z tamtąd już tylko prosta droga do gdata. -add: oczywiście dodanie do hasła znaków innych niż alfanumeryczne spowoduje koszmarne utrudnienie w złamaniu takiego hasła, ale to już raczej mentalność użytkowników, a nie administratora ;( Ten post edytował lenzcewski 23.03.2006, 22:55:25 |
|
|
|
nospor podwójne hashowanie haseł 27.02.2006, 11:48:23 
wijet Ja też myślalem że przepuścić przez md5 dwa razy b... 27.02.2006, 14:09:17 mike_mech Haszowanie dwa razy jest bez sensu, no bo nawet je... 27.02.2006, 14:30:17 FiDO Cytat(mike_mech @ 2006-02-27 14:30:17)rety, c... 22.03.2006, 18:47:42 rbart Osobiście niewiem po co to podwójne kodowanie md5 ... 22.03.2006, 20:27:09 sopel Cytat(nospor @ 2006-02-27 11:48:23)md5 sie ni... 22.03.2006, 23:26:40 Aztech [offtopic mode on]
Cytatco do odkodowania md5, jak... 23.03.2006, 00:31:50 nospor CytatZakladajac, ze haslo brzmi 'tajne123... 23.03.2006, 08:34:33 lenzcewski hmmm. a jednak będę odmiennego zdania, niż cześc t... 23.03.2006, 18:34:57 My4tic A co powiecie o słownikach hashy w md5 których peł... 23.03.2006, 21:02:40 nospor Kurka wodna, jak to potrafią czlowiekowi wodę z mó... 23.03.2006, 21:10:40 My4tic Zgadza sie - na b-f nic sie nie poradzi ale podwoj... 23.03.2006, 21:23:26 SHiP Co do kodowania 2 x md5 heh a nie łatwiej użyć kod... 23.03.2006, 23:02:10 lenzcewski hmmm. po co?
jeżli masz odkodowane hasło, szansa, ... 24.03.2006, 06:53:32 chomiczek Cytat(SHiP @ 2006-03-23 22:02:10)Dla utrudnie... 24.03.2006, 09:04:19 lenzcewski http://www.hakin9.org/pl/attachments/md5_pl.pdf
ht... 24.03.2006, 09:23:34 kszychu Cytat(lenzcewski @ 2006-03-24 06:53:32)hmmm. ... 24.03.2006, 10:59:10 E-d md5 da się odhaszować.
http://md5.rednoize.com/
W... 24.03.2006, 11:36:29 
MajareQ Cytat(E-d @ 24.03.2006, 11:36:29... 4.02.2008, 20:33:41 lenzcewski krzychu:
nie zmienia to faktu, że ktoś uzyskał dos... 24.03.2006, 11:41:30 nospor Cytatmd5 da się odhaszować.
http://md5.rednoize.c... 24.03.2006, 11:58:22 kszychu Cytat(lenzcewski @ 2006-03-24 11:41:30)Przy T... 24.03.2006, 12:28:06 FiDO CytatPrzestrzegam natomiast przed sytuacją, w któr... 24.03.2006, 13:23:39 kszychu Cytat(FiDO @ 2006-03-24 13:23:39)Na przyklad ... 24.03.2006, 14:04:57 FiDO Ja tak robie
Oczywiscie nie ot tak sobie przypad... 24.03.2006, 17:00:16 shpyo Cytat(E-d @ 2006-03-24 12:36:29)md5 da s... 24.03.2006, 23:46:19 UsTeK Cytatsha1 to już przeszłość - został złamany przez... 3.04.2006, 18:05:51 Vengeance Dlaczego twierdzicie, że n-hash kompletnie nic nie... 3.04.2006, 19:17:35 nospor CytatJezeli uzytkownik zakoduje haslo 'test... 3.04.2006, 19:31:41 popo 2xmd5 = 2x wieksza szansa na kolizje.
Z prostego p... 3.04.2006, 20:03:29 Vengeance CytatTak wiec dla b-f bez roznicy jest przez co to... 3.04.2006, 21:36:24 nospor CytatJa mówiłem o najczęstrzej sytuacji... gdzie k... 3.04.2006, 21:43:26 Vengeance "Ale jezeli ten ktos, wie, ze to bylo dwa raz... 3.04.2006, 21:49:30 nospor widze że się nie rozumiemy
koles gdy robi b-f, g... 3.04.2006, 22:07:15 Vengeance No tak racja, o ile wie ;] Najczęściej nie wie i s... 3.04.2006, 22:09:57 popo Vengance on nawet nie musi tego wiedziec cala brud... 3.04.2006, 22:44:57 Vengeance Te obrazki zwą sie "captcha" i sa automa... 3.04.2006, 22:58:49 Kuziu ~Vengeance Zrób taki mały test:
Zakoduj sobie np.... 3.04.2006, 23:03:47 chomiczek trochę odświeże temat:
http://www.stachliu.com/col... 18.04.2006, 08:33:09 thornag Odswierzam troche temat ale mysle ze moje pytanie ... 6.11.2006, 17:34:16 kwiateusz cos w ten desen ale przy 12 znakach nie znalazł ha... 5.02.2008, 20:43:02 MajareQ jednym słowem jeszcze daleko brakuje do łamacza ha... 6.02.2008, 21:07:06 pinochet Witajcie ... to mój pierwszy post na tym forum wię... 9.10.2008, 12:58:45 Zyx 1. Dwukrotne wydłużenie czasu potrzebnego do złama... 14.10.2008, 07:20:42 pinochet Cytat(Zyx @ 14.10.2008, 08:20:42 ) 1.... 14.10.2008, 20:43:50 Zyx Kurde, jak do czegoś został przedstawion... 16.10.2008, 09:43:20 pinochet Dobra muszę przyznać Ci rację ;]
Wielokrone hashow... 16.10.2008, 18:03:43 Michu Nie rozumiem po co cały ten szum. Moje zdanie jest... 16.10.2008, 18:34:21 mike Cytat(Michu @ 16.10.2008, 19:34:21 ) ... 16.10.2008, 21:32:13 michalkjp @Michu
"Słabość MD5 polega na tym że ws... 16.10.2008, 22:01:15 Zyx MD5 zostało złamane już kilka lat t... 18.10.2008, 22:15:38 michalkjp Cytat(Zyx @ 18.10.2008, 23:15:38 ) Ob... 18.10.2008, 22:26:13 Zyx Ech, wystarczy w Google wpisać "MD5 collision... 19.10.2008, 10:52:23 Kicok Porównanie trzech metod przechowywania haseł jako ... 20.10.2008, 18:36:32 Zyx Punkt 1, 2 - są w porządku.
Punkt 3 - przeczytaj ... 21.10.2008, 07:12:07 mike Cytat(Kicok @ 20.10.2008, 19:36:32 ) ... 21.10.2008, 08:54:12 Kicok Cytat("mike")Oczywiście że jest błędne. ... 21.10.2008, 10:43:30 nospor CytatPo potraktowaniu tego hasha brute-forcemBrute... 21.10.2008, 10:46:56 Kicok O i taka odpowiedź rozjaśniła mi już wiele.
Teraz... 21.10.2008, 11:02:22 312 hej. zainteresowała mnie ta dyskusja.
mam jedno py... 14.11.2008, 09:17:00 Zyx Źle zrobioną captchę łatwo obejść, na dobrą też są... 17.11.2008, 10:21:47 Apocalyptiq Ja polecam mieszanie hashów - np. md5 + sha256: na... 21.11.2008, 21:53:22 phpion @Apocalyptiq:
Strasznie trudne byłoby odkrycie pra... 21.11.2008, 21:58:24 Apocalyptiq Cytat(phpion @ 21.11.2008, 21:58:24 )... 22.11.2008, 11:31:58 phpion Cytat(Apocalyptiq @ 22.11.2008, 13:31... 22.11.2008, 11:35:12 Apocalyptiq Ale ten test przeprowadziłem dla 100x hashowania -... 22.11.2008, 13:33:15 Crozin Żeby hash hasła trzymać w cookie... trzeba być nap... 23.11.2008, 11:04:51 Apocalyptiq Cytat(Crozin @ 23.11.2008, 11:04:51 )... 2.12.2008, 08:39:10 bełdzio Cytat(Apocalyptiq @ 2.12.2008, 08:39... 2.12.2008, 12:27:07 marcio A ja to robie inaczej po 10 nie powodzonych probac... 23.11.2008, 11:32:13 phpion Cytat(marcio @ 23.11.2008, 13:32:13 )... 23.11.2008, 11:34:45 marcio Mowi sie trudno cos za cos zreszta nie jest to po... 23.11.2008, 11:51:02 Zyx A żebyś wiedział... opór materii jest niesamowity.... 2.12.2008, 12:53:36 luki100011 Czyli równie dobrze można nie kodować haseł ;-) bo... 5.01.2009, 22:25:09 Crozin CytatMożna by sie teraz pokusić o hashowanie hasła... 5.01.2009, 22:58:40 pinochet Już napisałem "pare" postów wyżej że są ... 5.01.2009, 23:25:34 Wykladowca n-hashowanie nie zwiększa możliwości wygenerowania... 19.01.2009, 13:24:49 .radex Cytat(Wykladowca @ 19.01.2009, 13:24... 21.02.2009, 15:17:42 Pilsener 1. Nie ma sensu wielokrotne haszowanie ani używani... 26.01.2009, 12:27:18 Caus Nie wiem czy została podana jedna - chyba naj... 8.02.2009, 05:14:44 KaveS ciekawy temat i chetnie sie tu wypowiem. i chociaz... 21.02.2009, 07:51:17 Crozin MD5 ma 16^32 możliwych kombinacji.
Hasła typu: ... 21.02.2009, 11:41:33 Mikz Osobiście polecam stosowanie crypt().
Wszystkie me... 21.02.2009, 14:25:26 MWL Nie wiem czy zmiana soli po zalogowaniu ma duży se... 25.02.2009, 13:34:59 Zyx Mikz -> crypt() to nie żaden algorytm, tylko un... 26.02.2009, 21:23:18 Mikz Zyx -> z tą solą to chyba dość oczywiste, ale d... 12.03.2009, 13:56:06 fernet Ja w przyplywie entuzjazmu bawie sie innaczej baza... 21.04.2009, 19:35:13 Kocurro Ja za to zabezpieczam się odrobiną sztucznej intel... 21.04.2009, 19:40:45 guitarnet.pl 3 grosze..
jak ktos zna aplikacje TrueCrypt to od... 21.04.2009, 19:54:44 Crozin Cytattroche wyobrazni paniowie...I pisze to osoba,... 21.04.2009, 21:47:28 Apocalyptiq Poczytałem ten topic, jak i artykuł o hashowaniu d... 4.06.2009, 14:24:10 sowiq Cytat(Apocalyptiq @ 4.06.2009, 15:24... 4.06.2009, 14:38:53 Apocalyptiq Hm, ale ten mój pomysł miałby uniemożliwić dojście... 4.06.2009, 14:49:15 sowiq Cytat(Apocalyptiq @ 4.06.2009, 15:49... 4.06.2009, 14:59:12 Apocalyptiq Cytat(sowiq @ 4.06.2009, 15:59:12 ) P... 4.06.2009, 15:30:31 sowiq Cytat(Apocalyptiq @ 4.06.2009, 16:30... 4.06.2009, 15:44:24 Apocalyptiq Cytat(sowiq @ 4.06.2009, 16:44:24 ) M... 5.06.2009, 10:30:15 sowiq Cytat(Apocalyptiq @ 5.06.2009, 11:30... 5.06.2009, 11:16:03 Apocalyptiq Cytat(sowiq @ 5.06.2009, 12:16:03 ) J... 5.06.2009, 13:32:13  |
|
Aktualny czas: 25.08.2025 - 06:45 |
