 podwójne hashowanie haseł, ogólnie n-hashowanie |
| podwójne hashowanie haseł, ogólnie n-hashowanie |
Post
#1
|
|
|
Grupa: Moderatorzy Postów: 36 559 Pomógł: 6315 Dołączył: 27.12.2004  |
w związku z lekkim OT w pewnym temacie, który rozwinął się w ciekawą dyskusję, temat rozdzielam. Dotyczy on:
Czy podwójne (n-te) hashowanie hasła jest bezpieczniejsze, od pojedynczego hashowania md5 sie nie odkoduje. mozna trafic na rozwiązanie metodą brute force. Dla tej metody jednak jest bez roznicy, czy ty dane haslo przepuścic przez md5 raz, dwa czy milion razy (IMG:style_emoticons/default/wink.gif) Posty będące duplikacją postów już zawartych w temacie, będą bez ostrzeżenia usuwane. Ma to zapobiedz tworzeniu się zbędnego śmietnika |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 120 Pomógł: 12 Dołączył: 9.10.2008 Skąd: Tricity.Rumia() Ostrzeżenie: (0%) 
|
Już napisałem "pare" postów wyżej że są 3 przypadki "ataku" i hashowanie ma sens tylko w 2 z nich. Natomiast sam kiedyś wszedłem w posiadanie tabelki users pewnego serwisu (przez przypadek) pomimo ze nie mogłem/nie chciałem mieć dostępu do kodu źródłowego.
Ale z czystej ciekawości puściłem słownik + md5 na hasła z 400 userów "odgadłem" około 40 z czego pięć haseł to było "kasia" albo coś w tym stylu (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif) ile z tych haseł było tymi samymi hasłami co do poczty nie wiem :] ale od tamtej pory nikt nie wmówi mi że dodawanie soli do hasła jest bez sensu. Ostatnio naszła mnie taka myśl :] ... hasło każdy z userów może dać sobie dupa13 (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif) ale login musi być unikalny .... oczywiście metody typu md5($login.$haslo) są pewnie wszystkim znane i szeroko stosowane ale może roll(md5(haslo), strlen($login)). itp itd. możliwości jest wiele. |
|
|
|
nospor podwójne hashowanie haseł 27.02.2006, 11:48:23 
wijet Ja też myślalem że przepuścić przez md5 dwa razy b... 27.02.2006, 14:09:17 mike_mech Haszowanie dwa razy jest bez sensu, no bo nawet je... 27.02.2006, 14:30:17 FiDO Cytat(mike_mech @ 2006-02-27 14:30:17)rety, c... 22.03.2006, 18:47:42 rbart Osobiście niewiem po co to podwójne kodowanie md5 ... 22.03.2006, 20:27:09 sopel Cytat(nospor @ 2006-02-27 11:48:23)md5 sie ni... 22.03.2006, 23:26:40 Aztech [offtopic mode on]
Cytatco do odkodowania md5, jak... 23.03.2006, 00:31:50 nospor CytatZakladajac, ze haslo brzmi 'tajne123... 23.03.2006, 08:34:33 lenzcewski hmmm. a jednak będę odmiennego zdania, niż cześc t... 23.03.2006, 18:34:57 My4tic A co powiecie o słownikach hashy w md5 których peł... 23.03.2006, 21:02:40 nospor Kurka wodna, jak to potrafią czlowiekowi wodę z mó... 23.03.2006, 21:10:40 My4tic Zgadza sie - na b-f nic sie nie poradzi ale podwoj... 23.03.2006, 21:23:26 lenzcewski nospor: dla bezpośredniego ataku na strone (remote... 23.03.2006, 22:48:20 SHiP Co do kodowania 2 x md5 heh a nie łatwiej użyć kod... 23.03.2006, 23:02:10 lenzcewski hmmm. po co?
jeżli masz odkodowane hasło, szansa, ... 24.03.2006, 06:53:32 chomiczek Cytat(SHiP @ 2006-03-23 22:02:10)Dla utrudnie... 24.03.2006, 09:04:19 lenzcewski http://www.hakin9.org/pl/attachments/md5_pl.pdf
ht... 24.03.2006, 09:23:34 kszychu Cytat(lenzcewski @ 2006-03-24 06:53:32)hmmm. ... 24.03.2006, 10:59:10 E-d md5 da się odhaszować.
http://md5.rednoize.com/
W... 24.03.2006, 11:36:29 
MajareQ Cytat(E-d @ 24.03.2006, 11:36:29... 4.02.2008, 20:33:41 lenzcewski krzychu:
nie zmienia to faktu, że ktoś uzyskał dos... 24.03.2006, 11:41:30 nospor Cytatmd5 da się odhaszować.
http://md5.rednoize.c... 24.03.2006, 11:58:22 kszychu Cytat(lenzcewski @ 2006-03-24 11:41:30)Przy T... 24.03.2006, 12:28:06 FiDO CytatPrzestrzegam natomiast przed sytuacją, w któr... 24.03.2006, 13:23:39 kszychu Cytat(FiDO @ 2006-03-24 13:23:39)Na przyklad ... 24.03.2006, 14:04:57 FiDO Ja tak robie
Oczywiscie nie ot tak sobie przypad... 24.03.2006, 17:00:16 shpyo Cytat(E-d @ 2006-03-24 12:36:29)md5 da s... 24.03.2006, 23:46:19 UsTeK Cytatsha1 to już przeszłość - został złamany przez... 3.04.2006, 18:05:51 Vengeance Dlaczego twierdzicie, że n-hash kompletnie nic nie... 3.04.2006, 19:17:35 nospor CytatJezeli uzytkownik zakoduje haslo 'test... 3.04.2006, 19:31:41 popo 2xmd5 = 2x wieksza szansa na kolizje.
Z prostego p... 3.04.2006, 20:03:29 Vengeance CytatTak wiec dla b-f bez roznicy jest przez co to... 3.04.2006, 21:36:24 nospor CytatJa mówiłem o najczęstrzej sytuacji... gdzie k... 3.04.2006, 21:43:26 Vengeance "Ale jezeli ten ktos, wie, ze to bylo dwa raz... 3.04.2006, 21:49:30 nospor widze że się nie rozumiemy
koles gdy robi b-f, g... 3.04.2006, 22:07:15 Vengeance No tak racja, o ile wie ;] Najczęściej nie wie i s... 3.04.2006, 22:09:57 popo Vengance on nawet nie musi tego wiedziec cala brud... 3.04.2006, 22:44:57 Vengeance Te obrazki zwą sie "captcha" i sa automa... 3.04.2006, 22:58:49 Kuziu ~Vengeance Zrób taki mały test:
Zakoduj sobie np.... 3.04.2006, 23:03:47 chomiczek trochę odświeże temat:
http://www.stachliu.com/col... 18.04.2006, 08:33:09 thornag Odswierzam troche temat ale mysle ze moje pytanie ... 6.11.2006, 17:34:16 kwiateusz cos w ten desen ale przy 12 znakach nie znalazł ha... 5.02.2008, 20:43:02 MajareQ jednym słowem jeszcze daleko brakuje do łamacza ha... 6.02.2008, 21:07:06 pinochet Witajcie ... to mój pierwszy post na tym forum wię... 9.10.2008, 12:58:45 Zyx 1. Dwukrotne wydłużenie czasu potrzebnego do złama... 14.10.2008, 07:20:42 pinochet Cytat(Zyx @ 14.10.2008, 08:20:42 ) 1.... 14.10.2008, 20:43:50 Zyx Kurde, jak do czegoś został przedstawion... 16.10.2008, 09:43:20 pinochet Dobra muszę przyznać Ci rację ;]
Wielokrone hashow... 16.10.2008, 18:03:43 Michu Nie rozumiem po co cały ten szum. Moje zdanie jest... 16.10.2008, 18:34:21 mike Cytat(Michu @ 16.10.2008, 19:34:21 ) ... 16.10.2008, 21:32:13 michalkjp @Michu
"Słabość MD5 polega na tym że ws... 16.10.2008, 22:01:15 Zyx MD5 zostało złamane już kilka lat t... 18.10.2008, 22:15:38 michalkjp Cytat(Zyx @ 18.10.2008, 23:15:38 ) Ob... 18.10.2008, 22:26:13 Zyx Ech, wystarczy w Google wpisać "MD5 collision... 19.10.2008, 10:52:23 Kicok Porównanie trzech metod przechowywania haseł jako ... 20.10.2008, 18:36:32 Zyx Punkt 1, 2 - są w porządku.
Punkt 3 - przeczytaj ... 21.10.2008, 07:12:07 mike Cytat(Kicok @ 20.10.2008, 19:36:32 ) ... 21.10.2008, 08:54:12 Kicok Cytat("mike")Oczywiście że jest błędne. ... 21.10.2008, 10:43:30 nospor CytatPo potraktowaniu tego hasha brute-forcemBrute... 21.10.2008, 10:46:56 Kicok O i taka odpowiedź rozjaśniła mi już wiele.
Teraz... 21.10.2008, 11:02:22 312 hej. zainteresowała mnie ta dyskusja.
mam jedno py... 14.11.2008, 09:17:00 Zyx Źle zrobioną captchę łatwo obejść, na dobrą też są... 17.11.2008, 10:21:47 Apocalyptiq Ja polecam mieszanie hashów - np. md5 + sha256: na... 21.11.2008, 21:53:22 phpion @Apocalyptiq:
Strasznie trudne byłoby odkrycie pra... 21.11.2008, 21:58:24 Apocalyptiq Cytat(phpion @ 21.11.2008, 21:58:24 )... 22.11.2008, 11:31:58 phpion Cytat(Apocalyptiq @ 22.11.2008, 13:31... 22.11.2008, 11:35:12 Apocalyptiq Ale ten test przeprowadziłem dla 100x hashowania -... 22.11.2008, 13:33:15 Crozin Żeby hash hasła trzymać w cookie... trzeba być nap... 23.11.2008, 11:04:51 Apocalyptiq Cytat(Crozin @ 23.11.2008, 11:04:51 )... 2.12.2008, 08:39:10 bełdzio Cytat(Apocalyptiq @ 2.12.2008, 08:39... 2.12.2008, 12:27:07 marcio A ja to robie inaczej po 10 nie powodzonych probac... 23.11.2008, 11:32:13 phpion Cytat(marcio @ 23.11.2008, 13:32:13 )... 23.11.2008, 11:34:45 marcio Mowi sie trudno cos za cos zreszta nie jest to po... 23.11.2008, 11:51:02 Zyx A żebyś wiedział... opór materii jest niesamowity.... 2.12.2008, 12:53:36 luki100011 Czyli równie dobrze można nie kodować haseł ;-) bo... 5.01.2009, 22:25:09 Crozin CytatMożna by sie teraz pokusić o hashowanie hasła... 5.01.2009, 22:58:40 Wykladowca n-hashowanie nie zwiększa możliwości wygenerowania... 19.01.2009, 13:24:49 .radex Cytat(Wykladowca @ 19.01.2009, 13:24... 21.02.2009, 15:17:42 Pilsener 1. Nie ma sensu wielokrotne haszowanie ani używani... 26.01.2009, 12:27:18 Caus Nie wiem czy została podana jedna - chyba naj... 8.02.2009, 05:14:44 KaveS ciekawy temat i chetnie sie tu wypowiem. i chociaz... 21.02.2009, 07:51:17 Crozin MD5 ma 16^32 możliwych kombinacji.
Hasła typu: ... 21.02.2009, 11:41:33 Mikz Osobiście polecam stosowanie crypt().
Wszystkie me... 21.02.2009, 14:25:26 MWL Nie wiem czy zmiana soli po zalogowaniu ma duży se... 25.02.2009, 13:34:59 Zyx Mikz -> crypt() to nie żaden algorytm, tylko un... 26.02.2009, 21:23:18 Mikz Zyx -> z tą solą to chyba dość oczywiste, ale d... 12.03.2009, 13:56:06 fernet Ja w przyplywie entuzjazmu bawie sie innaczej baza... 21.04.2009, 19:35:13 Kocurro Ja za to zabezpieczam się odrobiną sztucznej intel... 21.04.2009, 19:40:45 guitarnet.pl 3 grosze..
jak ktos zna aplikacje TrueCrypt to od... 21.04.2009, 19:54:44 Crozin Cytattroche wyobrazni paniowie...I pisze to osoba,... 21.04.2009, 21:47:28 Apocalyptiq Poczytałem ten topic, jak i artykuł o hashowaniu d... 4.06.2009, 14:24:10 sowiq Cytat(Apocalyptiq @ 4.06.2009, 15:24... 4.06.2009, 14:38:53 Apocalyptiq Hm, ale ten mój pomysł miałby uniemożliwić dojście... 4.06.2009, 14:49:15 sowiq Cytat(Apocalyptiq @ 4.06.2009, 15:49... 4.06.2009, 14:59:12 Apocalyptiq Cytat(sowiq @ 4.06.2009, 15:59:12 ) P... 4.06.2009, 15:30:31 sowiq Cytat(Apocalyptiq @ 4.06.2009, 16:30... 4.06.2009, 15:44:24 Apocalyptiq Cytat(sowiq @ 4.06.2009, 16:44:24 ) M... 5.06.2009, 10:30:15 sowiq Cytat(Apocalyptiq @ 5.06.2009, 11:30... 5.06.2009, 11:16:03 Apocalyptiq Cytat(sowiq @ 5.06.2009, 12:16:03 ) J... 5.06.2009, 13:32:13  |
|
Aktualny czas: 15.10.2025 - 19:41 |
