 haszowanie haseł oraz pytanie czy mozna przejrzec ukryte ip |
  |
| haszowanie haseł oraz pytanie czy mozna przejrzec ukryte ip |
 20.08.2012, 19:11:39
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 200 Pomógł: 1 Dołączył: 4.08.2012 Ostrzeżenie: (10%) 
 |
witam, moje pytania moga sie wydac bardziej zaznajomionym w temacie troche glupie ale zapytam. hasla sie haszuje z oczywistych wzgledow. sha1, sha2 i inne algorytmy. z tego co czytalem glownym kryterium i problemem jest ilosc czasu potrzebnego na oczytanie go metoda brute-force. czy nie mozna by bylo to obejsc zwyczajnie dajac co 3 nieudane trafy przerwe 15 minutowa? czas ten tez moglby sie zwiekszac gdyby ciagle zle sie podawalo. po wielu nieudanych probach mozna by tez blokowac konto i dopiero administrator by odblokowal po przekonaniu go. to po pierwsze i po drugie:
do ukrycia ip mozna stosowac bramki proxy albo odpowiednie programy. czy administrator ma mozliwosc przejrzenia mimo to prawdziwego ip? jak testowalem uzywajac zmiennej REMOTE_ADDR to przy proxy mowil ze sa 2 rozne ip. ale czy sa mozliwosci zeby mimo to przejrzec prawdziwe ip? pozdrawiam |
 |
 
|
|
20.08.2012, 20:23:20
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 97 Pomógł: 15 Dołączył: 12.08.2012 Skąd: Zabrze Ostrzeżenie: (10%)
|
Brute-force możmna rozumieć dwojako:
- atak bezpośrednio na stronę logowania: mamy login użytkownika, nie mamy skrótu jego hasła, testujemy wszystkie możliwe hasła po kolei - atak na posiadany skrót: mamy skrót hasła użytkownika, próbujemy go złamać lokalnie, tetsujemy wszystkie możliwe hasła i cieszymy się jeśli hash($mozliwosc) == $hash Hasła hashuje się aby zapobiec temu drugiemu. Opisałeś sposoby zapobiegnięcia temu pierwszemu. |
|
|
|
|
20.08.2012, 21:57:22
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 200 Pomógł: 1 Dołączył: 4.08.2012 Ostrzeżenie: (10%)
|
tak w ogole to hasla haszuje sie tez ze w razie jesli zostana zlapane podczas przesylania to haker otrzyma teoretycznie nic nie dajacy zlepek znakow a nie haslo. ale przeciez przy uzyciu paru komputerow mozna, gdyby pracowaly 24/7 i ukladalyby slowa po czym je haszowaly i zapisywaly w pamieci... wtedy taki haker po .. hm nie znam sie ale mysle ze po miesiciu mialby juz sporo ukladow hasz - odszyfrowanie i moglby tylko stukac ten hasz ktory przejal i mialby haslo... czy to jest ten 2 sposob ktory opisales?
Ten post edytował michat34 20.08.2012, 21:58:23 |
|
|
|
|
20.08.2012, 22:45:53
Post
#4
|
|
|
Grupa: Zarejestrowani Postów: 97 Pomógł: 15 Dołączył: 12.08.2012 Skąd: Zabrze Ostrzeżenie: (10%)
|
To nie jest aż tak proste, ale wykonalne dla słabych funkcji mieszających (md5, sha-1) - ja polecam algorytmy matematycznie wolne i poprawne.
Tak, to ten sposób, tylko zazwyczaj albo się porównuje hash w trakcie jego stworzenia, albo zapisue w tzw. tęczowych tablicach - ale dużo na ten temat można znaleźć już w internecie, ja na tym nie znam się tak dobrze, żeby o tym dokładniej mówić. |
|
|
|
|
21.08.2012, 10:19:06
Post
#5
|
|
 Grupa: Moderatorzy Postów: 15 467 Pomógł: 1451 Dołączył: 25.04.2005 Skąd: Szczebrzeszyn/Rzeszów |
Cytat ale przeciez przy uzyciu paru komputerow mozna, gdyby pracowaly 24/7 i ukladalyby slowa po czym je haszowaly i zapisywaly w pamieci... wtedy taki haker po .. hm nie znam sie ale mysle ze po miesiciu mialby juz sporo ukladow hasz Cytat To nie jest aż tak proste, ale wykonalne dla słabych funkcji mieszających (md5, sha-1) Panowie chyba nie słyszeli o tym, w jakim tempie można takie operacje przeprowadzić przez CUDA (obliczenia przeprowadzane na kartach graficznych). --------------------  ZCE :: Pisząc PW załączaj LINK DO TEMATU i TYLKO w sprawach moderacji :: jakiś błąd - a TREŚĆ BŁĘDU? :: nie ponaglaj z odpowiedzią via PW! |
|
|
|
|
21.08.2012, 11:41:38
Post
#6
|
|
|
Grupa: Zarejestrowani Postów: 200 Pomógł: 1 Dołączył: 4.08.2012 Ostrzeżenie: (10%)
|
przed chwila sie dowiedzialem ze sa strony gdzie sa udostepniano to co napisalem czyli wstukujesz w formularz hash i system ci pokazuje (jesli ma w bazie danych) odhaszowane haslo. jest to dostepne dla md5 i sha1 (ok 50 mln hasel dla obu). jezeli tak to te algorytmy sa teoretycznie nieefektywne... ale podobno mozna dodac sole i wtedy zmienia sie szyfr i juz te strony nie pomoga tak?
|
|
|
|
|
21.08.2012, 12:52:42
Post
#7
|
|
 Grupa: Zarejestrowani Postów: 6 476 Pomógł: 1306 Dołączył: 6.08.2006 Skąd: Kraków Ostrzeżenie: (0%) 
|
Cytat ale podobno mozna dodac sole i wtedy zmienia sie szyfr i juz te strony nie pomoga tak? Hash, nie szyfr. Ale tak, wtedy już tablice tęczowe są właściwie bezużyteczne.Nie mniej jednak: 1. http://forum.php.pl/index.php?showtopic=44...0&start=100 2. http://forum.php.pl/index.php/t202617.html Nie będziemy znowu wałkować tego samego tematu. |
|
|
|
|
23.08.2012, 11:55:36
Post
#8
|
|
 Grupa: Zarejestrowani Postów: 160 Pomógł: 6 Dołączył: 13.01.2012 Skąd: Bytom Ostrzeżenie: (0%)
|
Cytat(erix @ 21.08.2012, 11:19:06 )  Panowie chyba nie słyszeli o tym, w jakim tempie można takie operacje przeprowadzić przez CUDA (obliczenia przeprowadzane na kartach graficznych). propsuje! sam mam kartę z CUDA i naprawdę, temo powala. Dobra lektura http://www.codinghorror.com/blog/2012/04/speed-hashing.html do hashów używaj Bcrypt z 12 rundami (Manual: crypt) a Ip właściwe można podejrzeć, ale wiele proxy to maskuje, HTTP_X_FORWARDED_FOR z $_SERVER, jeszcze może być w HTTP_CLIENT_IP --------------------  |
|
|
|
|
23.08.2012, 19:21:02
Post
#9
|
|
|
Grupa: Zarejestrowani Postów: 200 Pomógł: 1 Dołączył: 4.08.2012 Ostrzeżenie: (10%)
|
ok dziekuje, przeczytam te linki ktore podaliscie, mozna zamknac
|
|
|
|
|
|
Wersja Lo-Fi | Aktualny czas: 17.06.2025 - 09:03 |
