Упс, отменяю эту фразу
Полная Версия: Ускоренный подбор md5
>Не согласен с этим утверждением.
Упс, отменяю эту фразу
Упс, отменяю эту фразу
Visman, прочитай мой ответ еще раза три 
___
кстати уникальную соль для каждого пользователя где собираешься хранить?
_____________
Стимулятор ~yoomoney - 41001303250491
___
кстати уникальную соль для каждого пользователя где собираешься хранить?
_____________
Стимулятор ~yoomoney - 41001303250491
Где, где? В базе.
Ты так и не ответил на мой вопрос.
Ты так и не ответил на мой вопрос.
| Цитата |
| Где, где? В базе. |
ну типа хакеры порядочные, хеш слили, а соль оставили...
_____________
Стимулятор ~yoomoney - 41001303250491
Valick, ты не поверишь, но далеко не все, кто занимаются программированием, могут им нормально заниматься... Но это не повод им хамить. ОК?
Если считаешь, что данный человек не предназначен для программирования, то так и скажи. Только с аргументами. И без хамства. И я думаю ты понял, о чем я говорю.
_____________
* Хэлп по PHP
* Описалово по JavaScript
* Хэлп и СУБД для PostgreSQL
* Обучаю PHP, JS, вёрстке. Интерактивно и качественно. За разумные деньги.
* "накапливаю умение телепатии" (С) и "гуглю за ваш счет" (С)
Если считаешь, что данный человек не предназначен для программирования, то так и скажи. Только с аргументами. И без хамства. И я думаю ты понял, о чем я говорю.
_____________
* Хэлп по PHP
* Описалово по JavaScript
* Хэлп и СУБД для PostgreSQL
* Обучаю PHP, JS, вёрстке. Интерактивно и качественно. За разумные деньги.
* "накапливаю умение телепатии" (С) и "гуглю за ваш счет" (С)
sergeiss, хамить я еще даже не начинал, если надо могу вернуть ту часть которую стер, ответ резкий - да, в ответе присутствует хамство - нет. У меня тоже, не поверишь, пару раз в году бывает плохое настроение. Просто человеку говоришь белое, а он отвечает: "нет мокрое!".
И кстати тем кому по моему мнению не стоит заниматься программированием, слышат от меня тишину (один раз правда посоветовал заняться макраме, но это было давно) и уж точно к Visman`у это не относится.
_____________
Стимулятор ~yoomoney - 41001303250491
И кстати тем кому по моему мнению не стоит заниматься программированием, слышат от меня тишину (один раз правда посоветовал заняться макраме, но это было давно) и уж точно к Visman`у это не относится.
_____________
Стимулятор ~yoomoney - 41001303250491
Название темы "Ускоренный подбор md5...", т.е. из названия темы следует, что тот кто подбирает этот хэш имеет его на руках, т.е. спер данные с базы.
Перебор хэшей в которых используется md5 делается хоть как быстрее, чем перебор хэшей с использованием sha1, sha256, sha512, что облегчает задачу хакеров.
То что соли сопрут вместе с хэшами паролей из базы все равно заставит злодея делать перебор данных для каждого отдельного пользователя по полной.
З.Ы. Все вышеприведенное обсуждение имеет смысл только тогда, когда утекла база, но хакер не получил доступа на запись данных/файлов
Перебор хэшей в которых используется md5 делается хоть как быстрее, чем перебор хэшей с использованием sha1, sha256, sha512, что облегчает задачу хакеров.
То что соли сопрут вместе с хэшами паролей из базы все равно заставит злодея делать перебор данных для каждого отдельного пользователя по полной.
З.Ы. Все вышеприведенное обсуждение имеет смысл только тогда, когда утекла база, но хакер не получил доступа на запись данных/файлов
Visman по мимо того что нужно слить хеш, нужно знать еще по какому алгоритму шифруется.
Соль можно хранить не в БД.
Соль можно хранить не в БД.
stepan, отдельная соль для каждого не в БД, это гемор
_____________
Стимулятор ~yoomoney - 41001303250491
_____________
Стимулятор ~yoomoney - 41001303250491
| Цитата (Valick @ 8.05.2013 - 07:55) |
| stepan, отдельная соль для каждого не в БД, это гемор |
Отдельная соль для каждого, это гемор.
Какой в ней смысл? Если сопрут базу, так и соли все там. Смысл соли как раз в том, что это недостающя часть звена, к которой нет доступа из СУБД.
Вот подбор алгоритма хэширования, да еще если используется не одна соль, это большая задача, даже зная исходные данные и результирующий хэш. А соль для каждого смысла не имеет.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
| Цитата |
Отдельная соль для каждого, это геммор. |
Так солью может быть всё что угодно. К примеру дата регистрации юзера или любимая собачка. А не поле с названием "Salt".
_____________
Если не говорить пользователям, что Linux это "Сложно и страшно", то им совершенно всё равно, в чём не разбираться
Это не так сложно вычислить, даже не зная алгоритма хэширования. Просто делаешь контрольный акк и сверяешь собачек, даты и так далее. Не так много вариантов, это и есть социальная инженирия.
Еще раз говорю, смысл соли в том, что бы добавить в хэш элемент, не доступный из СУБД. Тогда, не зная соль, нельзя подобрть алгоритм. А не зная алгоритм, нельзя вычислить соль.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
Еще раз говорю, смысл соли в том, что бы добавить в хэш элемент, не доступный из СУБД. Тогда, не зная соль, нельзя подобрть алгоритм. А не зная алгоритм, нельзя вычислить соль.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
| Цитата |
| Просто делаешь контрольный акк и сверяешь собачек, даты и так далее. |
Вот существует 100 таблиц. В каждой таблице по 10 полей. Все брутфорсить и сверять?
Да если у тебя стянули всю БД, а не одну таблицу, то проблема соли - наименьшая проблема
_____________
Если не говорить пользователям, что Linux это "Сложно и страшно", то им совершенно всё равно, в чём не разбираться
В качестве соли можно взять не дату или собачку 
А можно взять как соль, одновременно (!): часть даты + половину имени собачки + 5 символов логина (начиная с 3-го) + первые 10 символов от хэша пароля (взятого сначала без соли)... Можно извращаться как угодно. И попробуй перебери все варианты соли, не зная, что именно и откуда берётся Никакая социальная инженерия не поможет.
_____________
* Хэлп по PHP
* Описалово по JavaScript
* Хэлп и СУБД для PostgreSQL
* Обучаю PHP, JS, вёрстке. Интерактивно и качественно. За разумные деньги.
* "накапливаю умение телепатии" (С) и "гуглю за ваш счет" (С)
А можно взять как соль, одновременно (!): часть даты + половину имени собачки + 5 символов логина (начиная с 3-го) + первые 10 символов от хэша пароля (взятого сначала без соли)... Можно извращаться как угодно. И попробуй перебери все варианты соли, не зная, что именно и откуда берётся Никакая социальная инженерия не поможет.
_____________
* Хэлп по PHP
* Описалово по JavaScript
* Хэлп и СУБД для PostgreSQL
* Обучаю PHP, JS, вёрстке. Интерактивно и качественно. За разумные деньги.
* "накапливаю умение телепатии" (С) и "гуглю за ваш счет" (С)
| Цитата (sergeiss @ 8.05.2013 - 09:12) |
| Можно извращаться как угодно. |
Истину глаголишь. Только вот расскажи мне, для чего это?
Если у тебя есть доступ к алгоритму и к базе данных, какая разница, где хранить соль? И какая разница, индивидуальная она или общая.
Хоть полсобачки, хоть одна левая задняя нога, все данные в руках злоумышленника.
Смысла абсолютно никакого. В третий раз повторяю - соль нужна для того, что бы добавить в хэш данные, недоступные из СУБД. В этом есть хоть какой-то смысл. А в собачках нету.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
Здесь расположена полная версия этой страницы.