Правила     Закладки     Карма    Календарь    Журналы    Помощь    Поиск    PDA    Чат   
        СМС-ки
   
Пейджер выключен!
Страницы: (4) 1 2 [3] 4  ( Перейти к первому непрочитанному сообщению )  
Фильтр авторов:    показать 
  скрыть
  Ответ в темуСоздание новой темыСоздание опроса

> Криптостойкойст данного хеширования пароля
waldicom  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Эксперт
Группа переписки
Сообщений: 6204
Пользователь №: 5552
На форуме: 8 лет, 4 месяца, 28 дней
Карма: 162




Я чего-то не понимаю или rainbows на 8 знаков alphanumeric еще не генерировали? Там наверняка всего несколько петабайт будет smile.gif


--------------------
Свои мозги еще никто не отменял.
Телепатов нету.
PM
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
AllesKlar  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 3375
Пользователь №: 38635
На форуме: 2 года, 11 месяцев, 9 дней
Карма: 170




waldicom
md5_mixalpha-numeric#1-8 127 гигов
С учетом, что у меня не 100 мбит интернет, быстрее самому сгенерировать, чем выкачивать.


--------------------
[продано копирайтерам]
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Игорь_Vasinsky  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Лысый и злой
******

Профиль
Журнал
Группа: ★ЛжеЭксперт★
Завсегдатай форума
Сообщений: 25982
Пользователь №: 21350
На форуме: 6 лет, 8 месяцев, 21 день
Карма: 725

Не курю:
1 год, 2 месяца, 8 дней


использование хеша md5 в смеси пароля и твоей соли, и пусть эти базы формировались десятилетиями - не подберут.


--------------------
Халявные ответы кончились.
Если нужен готовый код - готовьтесь заплатить.
Райкин тоже был артист

Возле дома был сарай
А когда всё хорошо
Можно просто покурить

user posted image
http://ufa102.xyz/
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
AllesKlar  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 3375
Пользователь №: 38635
На форуме: 2 года, 11 месяцев, 9 дней
Карма: 170




Цитата (Игорь_Vasinsky @ 17.11.2015 - 07:56)
использование хеша md5 в смеси пароля и твоей соли, и пусть эти базы формировались десятилетиями - не подберут.

Кто спорит?
Но ведь тут речь не об этом идет smile.gif

Если алгоритм шифрования сложный, то и методы расшифровки пароля будут меняться.
Если Гарри Поттер засолит и пять тысяч раз завернет в password_hash, а потом давольный своей невообразмой крутостью выложит тут и предложит расшифровать, то будет послан в жопу.

А вот, если это будет пароль от сейфа, где он спрятал украденный им кокс, то и алгоритм расшифровки будет другим и скорость перебора паролей будет 1 пароль в 1 жизнь... но со 100% результатом.
Утрирую, конечно, но смысл, думаю, ясен smile.gif
Не бывает нерасшифровываемых паролей. бывает, что пароль нафиг никому не нужен.


--------------------
[продано копирайтерам]
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Игорь_Vasinsky  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Лысый и злой
******

Профиль
Журнал
Группа: ★ЛжеЭксперт★
Завсегдатай форума
Сообщений: 25982
Пользователь №: 21350
На форуме: 6 лет, 8 месяцев, 21 день
Карма: 725

Не курю:
1 год, 2 месяца, 8 дней


Цитата
Не бывает нерасшифровываемых паролей. бывает, что пароль нафиг никому не нужен.

так и я об этом.

нафига заморачиваться.


--------------------
Халявные ответы кончились.
Если нужен готовый код - готовьтесь заплатить.
Райкин тоже был артист

Возле дома был сарай
А когда всё хорошо
Можно просто покурить

user posted image
http://ufa102.xyz/
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
S.Chushkin  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Пофигист
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 778
Пользователь №: 36058
На форуме: 3 года, 11 месяцев, 8 дней
Карма: 40




Цитата (AllesKlar @ 15.11.2015 - 22:03)
Давай мне.
Но все по-честному. 8 символов, алфавит [a-zA-z0-9] - это в основном то, что используют  обычные пользователи.
Через трое суток выдам.

Очередной? wink.gif
Почитайте это, полезно: http://php.ru/forum/viewtopic.php?f=40&t=46728

Если коротко: md5(логин+пароль+соль) более чем достаточно для хеша пароля


--------------------
PM
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Ron  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 1044
Пользователь №: 41686
На форуме: 1 год, 3 месяца, 27 дней
Карма: 13




Цитата (S.Chushkin @ 17.11.2015 - 11:24)
Если коротко: md5(логин+пароль+соль) более чем достаточно для хеша пароля

Тем не менее, разработчики PHP с тобой не согласились и разработали password_hash, который реализован мной на 1-оф странице. Предлагаемые методы на сегодняшний день полностью совместимы с вышеозначенной функцией.

Тут Игорь прав, никому ваши базы нахрен не нужны. Храните хоть открытым текстом. Я больше скажу, и mail.ru базы никому не нужны. Был инцидент, когда выложили пароли от ящиков. И что? Я туда зашел исключительно, чтобы проверить, есть ли в списке мой. =))



--------------------
Жду 5.11.2017
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
S.Chushkin  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Пофигист
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 778
Пользователь №: 36058
На форуме: 3 года, 11 месяцев, 8 дней
Карма: 40




Цитата (Ron @ 17.11.2015 - 21:21)
Тем не менее, разработчики PHP с тобой не согласились и разработали password_hash...

Не имеет значения, кто чего сделал.
Нет доказательств того, что md5(пароль+соль) недостаточно надёжный хеш.


--------------------
PM
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Invis1ble  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме




******

Профиль
Группа: Эксперт
Группа переписки
Сообщений: 11786
Пользователь №: 23195
На форуме: 6 лет, 4 месяца, 12 дней
Карма: 429

Трезвый :
7 лет, 3 месяца, 12 дней


Цитата (S.Chushkin @ 17.11.2015 - 21:50)
Нет доказательств того, что md5(пароль+соль) недостаточно надёжный хеш.

в теме по твоей же ссылке вроде как все согласились, что данный подход уязвим к сливу соли и последующему бруту, не?


--------------------
PMПисьмо на e-mail пользователюСайт пользователя
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
S.Chushkin  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Пофигист
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 778
Пользователь №: 36058
На форуме: 3 года, 11 месяцев, 8 дней
Карма: 40




Расжуйте, что Вы сказали, пожалуйста. (у меня сегодня плохо голова соображает)


--------------------
PM
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Invis1ble  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме




******

Профиль
Группа: Эксперт
Группа переписки
Сообщений: 11786
Пользователь №: 23195
На форуме: 6 лет, 4 месяца, 12 дней
Карма: 429

Трезвый :
7 лет, 3 месяца, 12 дней


Цитата (S.Chushkin @ 17.11.2015 - 22:05)
Расжуйте, что Вы сказали, пожалуйста. (у меня сегодня плохо голова соображает)

если злоумышленнику станет известна соль, то подбор пароля прямым перебором уже не будет являться чем-то фантастическим (при условии, что сам пароль не слишком "сложный"), т.к. сам md5 вычисляется относительно быстро


--------------------
PMПисьмо на e-mail пользователюСайт пользователя
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
killer8080  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Эксперт
Группа переписки
Сообщений: 8737
Пользователь №: 26630
На форуме: 5 лет, 9 месяцев, 3 дня
Карма: 591




Цитата (Ron @ 17.11.2015 - 04:30)
Может быть наоборот?
[0-9] XXXX = 10^4, а не 4^10.

ohmy.gif точно, попутал местами smile.gif
ну теперь все стало на свои места, тотал брутфорс около 4-х часов, а то я уже начал терять веру в криптоанализ biggrin.gif

Цитата (AllesKlar @ 17.11.2015 - 09:02)
Не бывает нерасшифровываемых паролей. бывает, что пароль нафиг никому не нужен.

а еще бывает что алгоритм шифрования неизвестен и ломать нечего, от одного хеша толку ноль wink.gif
Цитата (S.Chushkin @ 17.11.2015 - 20:50)
Нет доказательств того, что md5(пароль+соль) недостаточно надёжный хеш.

если соль известна то перебор ничем ни отличается от хеша без соли, собственно назначение соли предотвратить групповой взлом, а не единичный.
Вся беда в том что почему то в веб безопасности стали копировать методы один в один из системной безопасности, без учета специфики векторов атак, отсюда и тотальный отказ от security through obscurity из-за неверных толкований smile.gif
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
S.Chushkin  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Пофигист
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 778
Пользователь №: 36058
На форуме: 3 года, 11 месяцев, 8 дней
Карма: 40




Цитата (Invis1ble @ 17.11.2015 - 22:13)
если злоумышленнику станет известна соль, то подбор пароля прямым перебором уже не будет являться чем-то фантастическим (при условии, что сам пароль не слишком "сложный"), т.к. сам md5 вычисляется относительно быстро

Совершенно верное, если известен алгоритм (в т.ч. исходные параметры), то пофиг каким алгоритмом будет создан хеш.
п.с. В той беседе об говорили, - если хакер получил доступ к исходному коду, то сложность не важна.


--------------------
PM
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Ron  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 1044
Пользователь №: 41686
На форуме: 1 год, 3 месяца, 27 дней
Карма: 13




Цитата (killer8080 @ 17.11.2015 - 22:17)
точно, попутал местами

Да со всеми бывает. =)

Цитата (killer8080 @ 17.11.2015 - 22:17)
а еще бывает что алгоритм шифрования неизвестен и ломать нечего, от одного хеша толку ноль

Тогда получается можно брать сначала от пароля md5 и тем самым вообще свести на нет требования по длине пароля и богатству алфавита. Получим на выходе 32 разряда в hexadecimal это как раз те самые 3,4E+38 комбинаций. А потом взять этот хэш и накатить сверху password_hash(). Даже несмотря на то, что соль известна, 32 разряда это не шутки шутить. Тем более мы не знаем алфавита, поскольку предыдущий шаг, где md5, заведомо неизвестен. Там может оказаться совершенно любая функция.



--------------------
Жду 5.11.2017
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
S.Chushkin  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Пофигист
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 778
Пользователь №: 36058
На форуме: 3 года, 11 месяцев, 8 дней
Карма: 40




Цитата (killer8080 @ 17.11.2015 - 22:17)
собственно назначение соли предотвратить групповой взлом, а не единичный.

Я думаю, назначение соли это средство усложнить перебор(взлом) настолько, что он становится слишком дорогим. И не важно, групповой он или единичный.


--------------------
PM
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
  Быстрый ответ
Информация о Госте
Введите Ваше имя
Кнопки кодов
Для вставки цитаты, выделите нужный текст и
НАЖМИТЕ СЮДА
Введите сообщение
Смайлики
:huh:  :o  ;) 
:P  :D  :lol: 
B)  :rolleyes:  <_< 
:)  :angry:  :( 
:unsure:  :blink:  :ph34r: 
     
Показать всё

Опции сообщения  Включить смайлики?
 Включить подпись?
 
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:

Опции темыСтраницы: (4) 1 2 [3] 4  Ответ в темуСоздание новой темыСоздание опроса