Полная Версия: Криптостойкойст данного хеширования пароля
| Цитата (Ron @ 14.11.2015 - 19:55) |
| Я тебе больше скажу. Самый обычный MD5 без соли попробуй "расшифруй" для начала |
Давай мне.
Но все по-честному. 8 символов, алфавит [a-zA-z0-9] - это в основном то, что используют обычные пользователи.
Через трое суток выдам.
_____________
[продано копирайтерам]
| Цитата (AllesKlar @ 15.11.2015 - 22:03) |
| Через трое суток выдам. |
:D а в базе 100 клиентов, к примеру. 300 суток == почти год? Ну-ну... За это время половина клиентов сменит свои пароли, ибо забудут попросту.
Ну давай. 8 символов? Ок. Алгоритм функции, по которой сейчас формирую пароль такая:
function generateHashForAllesKlar()
{
$passwd='';
$alpabet = array_merge(range('0', '9'), range('A', 'Z'), range('a','z'));
for($i=0; $i<8; $i++)
{
$passwd .= $alpabet[mt_rand(0, 61)];
}
return md5($passwd);
}
Итак, вращайте барабан!
a57e31bdd614475091098f5efad38f3e
Ron
Я просто перебором цифры перебирал на паре. 2 первых символа хеша - понт секунд, 3-4-5 - тоже фигня. 6- начинается аддский хардкор! у меня так за пару и не перебрал)
Я просто перебором цифры перебирал на паре. 2 первых символа хеша - понт секунд, 3-4-5 - тоже фигня. 6- начинается аддский хардкор! у меня так за пару и не перебрал)
| Цитата (Ron @ 16.11.2015 - 02:12) | ||
:D а в базе 100 клиентов, к примеру. 300 суток == почти год? Ну-ну... За это время половина клиентов сменит свои пароли, ибо забудут попросту. Ну давай. 8 символов? Ок. Алгоритм функции, по которой сейчас формирую пароль такая: function generateHashForAllesKlar() Итак, вращайте барабан! a57e31bdd614475091098f5efad38f3e |
Кому нужны пароли всех клиентов?
Это в книжках про матрицу и прочих Докторов Хаусов пишут.
Заказывают пароль от одного пользователя. Подруги/друга/жены/мужа/любовницы/тупого админа/ и т.д.
Ты пароль от хеша сохранил-то? если нет, то давай новый, как потом проверять?
_____________
[продано копирайтерам]
| Цитата (AllesKlar @ 16.11.2015 - 04:49) |
| Ты пароль от хеша сохранил-то? если нет, то давай новый, как потом проверять? |
md5 функцией конечно же! ))) Найди коллизию, это тоже будет решением задачи. От тебя публикация строки хэш которой приведен выше. Но я, конечно, сохранил, донт ворри... Так что "смелее вперед - труба зовет!" ))
| Цитата (AllesKlar @ 16.11.2015 - 04:49) |
| Заказывают пароль от одного пользователя. Подруги/друга/жены/мужа/любовницы/тупого админа/ и т.д. |
Ну да-да-да. Сначала найди реальный логин бедолаги. Когда восновном регистрация и авторизация по email, а имя пользователя по никнэйму. И пойди узнай для начала его данные авторизации. Сколько на эту задачу кидаешь времени? Ну судя по md5 "расшифровке" лет 10-15, надо полагать... =(
А сколько времени предусматриваешь на похищение базы? )))
Или мы двигаемся по сценарию диснеевской сказки? Шел-шел, базу на дороге нашел, а там email Шварцнеггера! Побежал я тут домой, расшифровал - БОГИ, да ведь у него один и тот же пароль везде, и на банковский счет тоже, где пара миллионов баксов!!! Причем md5!!! Перевел я незаметно 100к$ себе на счет и поехал на гавайи отдыхать... Тут и сказке конец, а кто слушал - молодец!
Это детям перед сном только рассказывать... Чтобы хороший IT-шник вырос... Или не IT-шник... ХЗ...
Ron
Вот ты балалайка... ну вот твой реальный логин - Ron. Вопрос закрыт?
Будет другой ресурс, будут другие методы поиска логина.
Я не собираюсь с тобой меряться.
Я тебе вывалю пароль от твоего хеша и мы закроем тему.
На моей машине стоят никсы.
Собирать, брать в аренду сейчас ботнет только ради того, чтобы ткнуть засранца мордой в обоссаные штаны - много чести.
Винда с карточкой GPU в детской, там ребенок спит, я сейчас шариться по детской не хочу. Утром дите проснется, я на ее комп поставлю брут на видюху. делов-то...
Ты найдешь еще 10 000 отмазок, но мне это фиолетово. Ты теоретик, у тебя всегда будет отмазка.
_____________
[продано копирайтерам]
Вот ты балалайка... ну вот твой реальный логин - Ron. Вопрос закрыт?
Будет другой ресурс, будут другие методы поиска логина.
Я не собираюсь с тобой меряться.
Я тебе вывалю пароль от твоего хеша и мы закроем тему.
На моей машине стоят никсы.
Собирать, брать в аренду сейчас ботнет только ради того, чтобы ткнуть засранца мордой в обоссаные штаны - много чести.
Винда с карточкой GPU в детской, там ребенок спит, я сейчас шариться по детской не хочу. Утром дите проснется, я на ее комп поставлю брут на видюху. делов-то...
Ты найдешь еще 10 000 отмазок, но мне это фиолетово. Ты теоретик, у тебя всегда будет отмазка.
_____________
[продано копирайтерам]
AllesKlar, это md5 Карл! Без соли. Без соли, Карл! Даже полные лохи так не делают, Карл!!!!!!
Какие в очко теории!? )))) Даешь брутфорс функции password_hash(), вот это будет грандиозно.
Но ты попробуй, попробуй... Я вот пробовал, теперь и тебе предлагаю. Ты ощути хоть всю глубину глубин. Даже на элементарнейшем md5. А потом уж и поговорим.
Какие в очко теории!? )))) Даешь брутфорс функции password_hash(), вот это будет грандиозно.
Но ты попробуй, попробуй... Я вот пробовал, теперь и тебе предлагаю. Ты ощути хоть всю глубину глубин. Даже на элементарнейшем md5. А потом уж и поговорим.
| Цитата (AllesKlar @ 16.11.2015 - 06:50) |
| Вот ты балалайка... ну вот твой реальный логин - Ron. Вопрос закрыт? |
Ну достань для начала хэш моего пароля. И расскажи что это был за алгоритм хэширования.
| Цитата (Ron @ 16.11.2015 - 05:16) | ||
Ну достань для начала хэш моего пароля. И расскажи что это был за алгоритм хэширования. |
Взлом phpforum.su ?
Это будет тебе стоить 4 000 евро.
Готов платить?
Нет?
Ну вот и иди в свой детсад, там перед Машкой из подготовительной группы понтуйся.
Или ты думал, что сейчас все бросят свои дела и кинуться твое прыщаво-юношеское "слабо" опротестовывать?
Нет, таких как ты, которые кидаются на "слабо" я пользовал и буду дальше пользовать в своих корыстных целях
Вы же такие милые... приходишь якобы с проблеммой... пишешь: вот так буду делать.
Тут же набегает куча Ron-ов в комбинезонах и начинают : "да ты лошара..."
А я такой: "да вы сами лошары, вы ниче не умеете, а если не лошары, показывайте"
и всё... маленькие миньоны-Ron-ы уже забегали забесплатно наперегонки писать код для меня "лоха" , чтобы доказать, что они не лошары
_____________
[продано копирайтерам]
Сам высунулся, что забрутфорсит md5, теперь кто-то его на "слабо" берет, якобы.
| Цитата (AllesKlar @ 16.11.2015 - 14:29) |
| Это будет тебе стоить 4 000 евро. |
За 4к евро я сам здесь напишу в паблике свой пароль. Прямо в этой ветке. =)) И никаких АлесКляров не надо. Да что за 4к, за 400 евро.
Переведешь?| Цитата (AllesKlar @ 16.11.2015 - 14:29) |
| Или ты думал, что сейчас все бросят свои дела и кинуться твое прыщаво-юношеское "слабо" опротестовывать? |
Ну ты ж бросился!
Вижу очко горит, чего, не получается что ли? ))
Я пошел за попкорном
| Цитата (AllesKlar @ 16.11.2015 - 05:50) |
| Винда с карточкой GPU |
| Цитата |
| ... скорость подбора MD5-паролей на nVidia GTX580 составляет до 15800 млн комбинаций в секунд ... |
это слишком мало для полного брутфорса "8 символов, алфавит [a-zA-z0-9]"
Спустя 14 минут, 34 секунды killer8080 написал(а):
я тут накидал калькулятор
Свернутый текст
$pass_length = 8;
$speed = 15800000000;
$chars = array_merge(range('0', '9'), range('A', 'Z'), range('a','z'));
$chars_length = count($chars);
$total = pow($pass_length, $chars_length);
echo "<pre>",
"Длина пароля: $pass_length\n",
"Скорость перебора: ".number_format($speed, 0, ',', ' ')." комбинаций в секунду\n",
"Количество используемых символов: $chars_length\n",
"Число комбинаций: $total\n",
"Расчётное время:\n";
$time = $total / $speed;
echo "----- $time секунд\n";
$time /= 60;
echo "----- $time минут\n";
$time /= 60;
echo "----- $time часов\n";
$time /= 24;
echo "----- $time суток\n";
$time /= 365;
echo "----- $time лет\n\n\n\n\n";
результаты получились из области фантастики
Длина пароля: 8
Скорость перебора: 15 800 000 000 комбинаций в секунду
Количество используемых символов: 62
Число комбинаций: 9.8079714615417E+55
Расчётное время:
----- 6.2075768743935E+45 секунд
----- 1.0345961457322E+44 минут
----- 1.7243269095537E+42 часов
----- 7.1846954564739E+40 суток
----- 1.9684097141024E+38 лет
Спустя 33 минуты, 58 секунд killer8080 написал(а):
а, ну да, коллизии не учёл, шансы поймать коллизию высоки, у md5 хеша всего лишь 3.4028236692094E+38 комбинаций, что на 15 порядков меньше числа комбинаций брута. Но все равно задача выглядит невыполнимой, даже для ботнета из миллиона хостов. Или я где то ошибся?
Здесь расположена полная версия этой страницы.