Online MD5 Hash Database

Σε αυτή την περιοχή μπορείτε να βρείτε ή να αναζητήσετε πληροφορίες σχετικές με την PHP

Συντονιστές: WebDev Moderators, Super-Moderators, PHP Moderators

Απάντηση
Άβαταρ μέλους
cherouvim
Script Master
Δημοσιεύσεις: 3137
Εγγραφή: 13 Ιούλ 2005 22:56
Τοποθεσία: Athens, Greece
Επικοινωνία:

Online MD5 Hash Database

Δημοσίευση από cherouvim » 22 Αύγ 2005 11:38

Ένας τυπάκος μάζεψε 12 εκατομμύρια λέξεις και έφτιαξε ένα online hash(md5) database. To blog του εδώ. Μερικά απλά passwords που «έσπασα» είναι τα εξής:

1fbfb23351e3580651395ab721f5e93 -> tennis
6436a55a08760c5b94dbed4476f83fcd -> first post
d3401cacf87221ecb1fe4f93b8bb90cd -> pico

Φυσικά για πολύπλοκα passwords (του τύπου 'x8$fbos_') δεν υπάρχει αντιστοιχία.

Η ερώτησή μου είναι, πως κωδικοποιείται εσείς τα passwords των users; Αρκεί το md5; Προσθέτετει κανείς κάποιο salt/finger πάνω στο user entered password; Πχ.

Κώδικας: Επιλογή όλων

$password = md5('bla&2_2F1'.$password.'&l2_^');

Άβαταρ μέλους
Rapid-eraser
WebDev Moderator
Δημοσιεύσεις: 6851
Εγγραφή: 05 Απρ 2003 17:50
Τοποθεσία: Πειραιάς
Επικοινωνία:

Online MD5 Hash Database

Δημοσίευση από Rapid-eraser » 22 Αύγ 2005 11:46

otav xrisimopioume hash functions pavtote ma pavtote bazoume kapoio extra salt mesa.

Prosfata o algori8mos tou md5 apodivamo8ike me mia texviki pou legete diaforisi katastasewv. Me apotelesma va mporouv va parax8ouv collisions twv hashes kata apetisi. Afto simevei pos me basi eva hash mporei kapoios va dimiourgisei diafora strings pou va exouv to idio hash.

Distixos kai to md5 lipov espase.

H movi lisi afti tnv stigmi gia tis critical efarmoges eivai to sha1 to opoio apo oti fevete 8a exei akoma mia diarkia zois merika xrovia.

Prosopika prosfata girisa ola mou ta passwords se sha1 (evoite pavta me kapoio salt) kai sivi8os xrisimopioume kai kapoia kivita stixia opos to time oste va allazouv sixva ta hashes pou exoume sta cookies.

Episis iparxouv kai alles texvikes pou mporouv va bon8isouv.
Px av peraseis to string apo eva base64encoding kai stnv sivexeia to hash tote allazei toso poli to input tou hash pou eivai sxedov adivato xoris collision va dimiourgiseis to prototipo.
Cu, Rapid-eraser, Tα αγαθά copies κτώνται.
Love is like oxygen, You get too much you get too high
Not enough and you're gonna die, Love gets you high

Άβαταρ μέλους
iffor
Δημοσιεύσεις: 778
Εγγραφή: 14 Μάιος 2005 01:19
Τοποθεσία: Παράδεισος
Επικοινωνία:

Online MD5 Hash Database

Δημοσίευση από iffor » 22 Αύγ 2005 16:18

Η αλήθεια είναι ότι δεν φοβάμαι και ιδιαίτερα τα διάφορα σπασίματα των αλγορίθμων κωδικοποίησης...
Κανείς δεν θα πρέπει να χρησιμοποιεί μόνο ένα είδος κωδικοποίησης κατα την γνώμη μου, αν θέλει να είναι σίγουρος για τα password του...
Η πιο κλασική και σε μεγάλο βαθμό σίγουρη τεχνική είναι αυτή στην οποία αναφέρεται ο rapid...
Ένας συνδιασμός τεχνικών με μία μικρή 'σάλτσα' από δικές μας ιδέες αρκούν για ένα αρκετά ασφαλές function κωδικοποίησης.
Πχ συνδιάζοντας ένα base64encoding με το md5...
συνδιάζοντας 2 ή 3 md5 στην σειρά
συνδιάζοντας χίλιες δυο τεχνικές... αρκεί να έχεις όρεξη να δημιουργίσεις την function που θα σου είναι λειτουργική για πολύ καιρό ακόμη...!!!

Μία ακόμη ωραία και δύσκολή σε αποδικοποιήση είναι η τεχνική του μοναδικού πίνακα...!!!
μια νέα αρχή ξεκίνησε...
ένας καινούριος δρόμος άνοιξε...
redpanda.gr

Άβαταρ μέλους
cordis
Administrator, [F|H]ounder, [C|S]EO
Δημοσιεύσεις: 27622
Εγγραφή: 09 Οκτ 1999 03:00
Τοποθεσία: Greece
Επικοινωνία:

Online MD5 Hash Database

Δημοσίευση από cordis » 22 Αύγ 2005 17:49

iffor έγραψε:Μία ακόμη ωραία και δύσκολή σε αποδικοποιήση είναι η τεχνική του μοναδικού πίνακα...!!!
Δηλαδή;
Δεν απαντάω σε προσωπικά μηνύματα με ερωτήσεις που καλύπτονται από τις ενότητες του forum. Για ο,τι άλλο είμαι εδώ για εσάς.
- follow me @twitter

Άβαταρ μέλους
cherouvim
Script Master
Δημοσιεύσεις: 3137
Εγγραφή: 13 Ιούλ 2005 22:56
Τοποθεσία: Athens, Greece
Επικοινωνία:

Online MD5 Hash Database

Δημοσίευση από cherouvim » 22 Αύγ 2005 19:24

Και το XOR.

Άβαταρ μέλους
iffor
Δημοσιεύσεις: 778
Εγγραφή: 14 Μάιος 2005 01:19
Τοποθεσία: Παράδεισος
Επικοινωνία:

Online MD5 Hash Database

Δημοσίευση από iffor » 22 Αύγ 2005 20:05

Αναφέρομε στους Πίνακες και τους Αντίστροφους Πίνακες που κάναμε μία εποχή στο Γυμνάσιο αν θυμάμαι καλά...!!!
Βασίζεται στο ότι ένας πίνακας έχει μόνο έναν αντίστροφο πίνακα των οποίων το γινόμενο δίνει τον μοναδιαίο πίνακα!
Αυτού του ίδους η τεχνική (θα ψάξω περισσότερα για να σου πώ ακριβώς) μπορεί να εφαρμοστεί σε πάρα πολλά πεδία...!!!
μια νέα αρχή ξεκίνησε...
ένας καινούριος δρόμος άνοιξε...
redpanda.gr

Άβαταρ μέλους
DataHellas
Δημοσιεύσεις: 39
Εγγραφή: 24 Μάιος 2005 08:57
Τοποθεσία: Αθήνα
Επικοινωνία:

Online MD5 Hash Database

Δημοσίευση από DataHellas » 26 Αύγ 2005 08:41

iffor μου θύμισες το σχολείο με τον αντίστροφο πίνακα. Στην Άλγεβρα τα κάναμε αυτά αν θυμάμαι καλά (ή στην Αναλυτική Γεωμετρία; ).

Το συγκεκρημένο θέμα που ανοίξατε είναι πολύ ενδιαφέρον. Θέλω να ρωτήσω για τη χρήση της function mcrypt() η οποία έχει το καλό ότι μπορεί να αντιστραφεί η διαδικασία κρυπτογράφισης (κακό βέβαια από πλευράς ασφάλειας). Η mcrypt με τον αλγόριθμο RIJNDAEL_256 δεν είναι αρκετά ασφαλής;

Για να μην ισοπεδώνουμε τα πάντα, μην τρομάζουμε κόσμο και λέμε ότι έσπασε η MD5. Μπορούμε να πούμε ότι κωδικοί των 6 ή 8 αλφαριθμιτικών χαρακτήρων μπορεί να σπάσουν σε μερικές μέρες (υπάρχουν ελεύθερα online MD5 crackers που υποβάλεις το hash Και περιμένεις να βγει το αποτέλεσμα) αλλά για σπάστε τo hash πχ αυτού του κωδικόυ: m4x@F9&3S!y

Άβαταρ μέλους
Rapid-eraser
WebDev Moderator
Δημοσιεύσεις: 6851
Εγγραφή: 05 Απρ 2003 17:50
Τοποθεσία: Πειραιάς
Επικοινωνία:

Online MD5 Hash Database

Δημοσίευση από Rapid-eraser » 26 Αύγ 2005 11:31

To problima me to md5 eivai hash collision.
Afto dimiourgite logo tou oti dio string mporouv va exouv to idio hash.
Alla logo tou shuffling pou givete eivai poli spanio afto kato apo kavovikes siv8ikes.

Me tnv texviki pou avakalif8ike to problima eivai poli sobaro.
Dev givete brute force gia tnv dimiourgia twv hash . Dld va elegxouv tixea string av dimiourgouv to idio hash alla paragouv ta string me basi to hash pou exouv.

Afto simevei pos paroti kapoios exei eva apo8ikeubmevo kodiko kapoios 8a mporouse va xrisimopiisei eva evalakatiko string pou paragei to idio hash. Ara ousiastika dev milame gia md5 cracker ka8os dev to 'spaei' alla to dimiourgei me collition.
Ara aveksarttita me tnv poliplokotita tou kodikou n to mege8os tou to problima paramevei.

Afto pou sozei arketa tnv katastasi eivai av exoume eva salt stnv paragogi tou hash . Etsi paroti 8a mporouse va bre8ei eva string pou paragei to hash av simperili8efei kai to salt mesa tote allazei to teliko hash ara 8eoritika eimaste asfalis apo afti tnv me8odo.

O RIJNDAEL dev eivai hash algori8mos alla block encryption algori8mos (amfidromos)
Afto simevei pos apo to af8evtiko string pame sto kodikopiimevo , me xrisi evos salt
kai epistrefoume apo to kodikopiimevo string
sto a8efevtiko me xrisi tou idiou salt.

Epidi eivai block algori8mos to kodikopiimevo string dimiourgite ava blocks kai fisika to mege8os tou string tou kodikopiimevou eivai megalitero kai diaforetiko apo tou af8evtikou mivimatos.
Epidi n xrisi tou mege8ous klidiou 256 eivai arketa divati exei diatiri8ei os basi gia polous algori8mous kriptografisis pou to kratave os basi.

Afto pou kavouv oi perisoteroi algori8moi eivai
va exouv eva pivaka pou va kavei eva avakatema
per block (logo mias isoropimevis function) kai stnv sivexeia va kavouv kodikopiisi me basi kapoiov block algori8mo (idiotikou klidiou H idiotikou & dimosiou) avaloga me tnv me8odo pou 8a xrisimopii8ei.

Ara to problima me to md5 eivai arketa sobaro idios gia tis crytical efarmoges pou n asfalia paizei megalo rolo.

H me8odos pou protivei o iffor eivai 1-1 kodikopiisi . 8eoritika eivia poli asfalis alla distixos movo gia liges ores. Aftes oi kodikopiisis pou givovte
bit pro bit me basi kapoia sta8era stixia ntav oi protes me8odous
pou xrisimopii8ikav gia tnv kodikopiisi alla logo tis efkolis kriptavalisis
exouv aposir8ei apo tnv xrisi.


PS: Oi avtoistrofoi pivakaes ntav stnv Gramiki aglebra
Cu, Rapid-eraser, Tα αγαθά copies κτώνται.
Love is like oxygen, You get too much you get too high
Not enough and you're gonna die, Love gets you high

Άβαταρ μέλους
viktoras
Δημοσιεύσεις: 963
Εγγραφή: 05 Απρ 2001 03:00
Τοποθεσία: Γαλάτσι, Αθήνα
Επικοινωνία:

Online MD5 Hash Database

Δημοσίευση από viktoras » 26 Αύγ 2005 12:03

Rapido έχεις υπόψην κάποιο αξιόπιστο tutorial/βιβλίο περί ασφάλειας [encryption] είτε σε γενικά πλαίσια είτε πάνω στο md5 που με ενδιαφέρει;
<?="Hello Freestuff";?>
Quality hosting by Cityhost

Άβαταρ μέλους
DataHellas
Δημοσιεύσεις: 39
Εγγραφή: 24 Μάιος 2005 08:57
Τοποθεσία: Αθήνα
Επικοινωνία:

Online MD5 Hash Database

Δημοσίευση από DataHellas » 26 Αύγ 2005 12:26

Ωραία rapid όσα ανέφερες για τον MD5 αλλά αυτά προϋποθέτουν ο επιτιθέμενος να γνωρίζει το hash. Μετά πάει στην database του και κοιτάει αν υπάρχει κάποιο string που έχει το ίδιο hash. Κατανοητό και καταλαβαίνω το μέγεθος της σοβαρότητας του προβλήματος. Υπάρχει όμως και το ζήτημα του πως να βρει το hash, έτσι δεν είναι; Και πες ότι το hash αντιστοιχεί σε ένα κωδικό ενός forum οπότε βρίσκεται σε μια mysql και βρίσκει κάποιο vunerabillity, κάνει mysql injection και το παίρνει, τι γίνεται σε επιθέσεις brute force attack σε ssh; Εγώ δέχομαι πολλές επιθέσεις σε ότι port μπορείς να φανταστείς (συνήθως άνω του 40.000) χωρίς ιδιαίτερα προβλήματα αφού τους κανονίζει το firewall. Αλλά δεν μπορώ να καταλάβω που σκοπεύουν. Να βρουν τον κωδικό άμεσα δεν υπάρχει περίπτωση. Να πάρουν το hash, πως; Δύσκολα νομίζω μπορεί να τους το "ξεράσει" ο server, ή όχι;

Για την mcrypt από ότι κατάλαβα συμφωνούμε ότι είναι αρκετά ασφαλής μέθοδος εφόσον δέχεται salt (και έχει και το πλεονέκτημα της αντιστροφής της διαδικασία πράγμα καλό για εφαρμογές php), οκ; Το sha-1 δεν το έχω δοκιμάσει.

Άβαταρ μέλους
Rapid-eraser
WebDev Moderator
Δημοσιεύσεις: 6851
Εγγραφή: 05 Απρ 2003 17:50
Τοποθεσία: Πειραιάς
Επικοινωνία:

Online MD5 Hash Database

Δημοσίευση από Rapid-eraser » 26 Αύγ 2005 13:01

H sha1 eivai hash function kai avoteris taksis apo to md5 osov afora to hash fingerprint

Pistepseme oi servers eivai toso diatritoi pou ama kapoios 8elei va kavei kapoia zimia dev 8a asxoli8ei me to hash alla 8a epite8ei se allou idious programata.
Osov afora to ssh dev vomizo oti kapoios logikos hacker 8a mpei stnv diadikasia va kavei brute force sto password.
To pio pi8avov eivai va kavei ssh sniffing pou eivai poli diadedomevo.
H episis avaloga me tnv kodikopiisi pou xrisimopiis gia to ssh malov 8a sniffarei paketa kai 8a kavei kapoio poisoning oste va bgevouv dipla kai tripla paketa me to idio privet key oste va mporesei va kavei kriptavalisi kai va brei to privet klidi kai stnv sivexeia apla va akouei paketa.

Twra ta sixva conections se ports dev eivai kata avagki brute force poli pi8avov va eisai 8ima kapoiou DOS attack alla apla avtexei n grammi kai o server sou.

Gia va 'kserasei' o server kapoio hash xlomo :P
To pio pi8avo eivai va 'faei' kapoios kapoio mixavima kai stnv sivexeia me administrative rights tsimpisei oti 8elei.

Fisika n epi8isi sto md5 hash eivai poli eksidikebmevn alla pote dev ksereis ... filage ta rouxa sou va exeis ta misa (ta alla misa 8a sta faei o skoros :P)
Cu, Rapid-eraser, Tα αγαθά copies κτώνται.
Love is like oxygen, You get too much you get too high
Not enough and you're gonna die, Love gets you high

Άβαταρ μέλους
DataHellas
Δημοσιεύσεις: 39
Εγγραφή: 24 Μάιος 2005 08:57
Τοποθεσία: Αθήνα
Επικοινωνία:

Online MD5 Hash Database

Δημοσίευση από DataHellas » 26 Αύγ 2005 16:02

Rapid δέχομαι από 1ως 4 τέτοιες επιθέσεις (brute force attacks) τη μέρα εδώ και μήνες... Είναι εμφανές ότι προέρχονται από script και δεν είναι manual γιατί διαφέρουν μεταξύ τους κατά 1 δευτερόλεπτο το πολύ. Αλλά κάνουν την εξής πουστιά: δοκιμάζουν συνεχώς σε διαφορετικό port και με διάφορα username (συνήθως βέβαια ως root) και το firewall αργεί να τους πιάσει. Αρκετές φορές προλαβαίνουν να κάνουν μέχρι και 200 επιθέσεις πριν τους κάνει ban το firewall. Όλα τα ports είναι κλειστά πλην των απολύτως αναγκαίων, ενώ πρόσβαση ssh έχει μόνο ένας χρήστης και δεν είναι ο root (πουστιά που διάβασα σε κάποια forum και την εφάρμοσα, πολύ χρήσιμο). Τρέχω και ένα anti-rootkit script ανά περιόδους για έλεγχο και παν ενδεχόμενο. Εχω σκεφτεί ακόμα και να αποκλείσω κάποιες περίεργες χώρες εντελως αλλά δεν το έχω κάνει ακόμα (οι περισσότερες επιθέσεις είναι από Ασία και χώρες όπως Κίνα, hong kong, φιλιππίνες και κάποιες από Αμερική).

Έχεις να προτείνεις τίποτα καλό για τέτοιες καταστάσεις; Για firewall τι πρότεινες; Πάντως όπως έγραψα δεν έχω κανένα πρόβλημα στο server, αντέχει μια χαρά αλλά δεν σταματάνε να επιτίθενται...

Ξεφύγαμε λίγο από το θέμα αλλά είναι συγγενικά θέματα..

Άβαταρ μέλους
Cha0s
SysAdmin
Δημοσιεύσεις: 10242
Εγγραφή: 28 Ιούλ 2001 03:00

Online MD5 Hash Database

Δημοσίευση από Cha0s » 26 Αύγ 2005 17:44

Γιατί δεν κλείνεις και το port 80; :kaloe:

Σοβαρά τώρα, είμαστε πολύ offtopic... δεν το θέτεις αλλού για συζήτηση;

Άβαταρ μέλους
Rapid-eraser
WebDev Moderator
Δημοσιεύσεις: 6851
Εγγραφή: 05 Απρ 2003 17:50
Τοποθεσία: Πειραιάς
Επικοινωνία:

Online MD5 Hash Database

Δημοσίευση από Rapid-eraser » 29 Αύγ 2005 20:20

Lipov apo egkiri pigi evimero8ika oti kai to sha1 tov exei piei kavovika kai malista iperbolika pio poli apo to md5.
Gevika oles oi polynomial block based algori8moi tov exouv piei kavovikotata kai n movi lisi gia ta hash eivai custom algos .

Eva workaround bebea se ola afta eivai to diplo perasma me salt (opos exoume pei idi). Diladi perasma tou hash me tov idio algori8mo
n kai evas sivdiasmos algori8mov 8a ferei arketa kalo apotelesma toso pou akoma kai n avebresi evos string pou paragei to idio hash va eivai adivatov va xrisimopi8ei .

Ipev8imizo bebea oti ta http session dev eivai encrypted kai fisika to olo security periorizete movo stnv periptosi pou kapoios apla mas faei tnv database.
Giati poli apla av kapoios arxisei kai sniffarei ta http sessions 8a brei to password xoris diskolia !!!
Cu, Rapid-eraser, Tα αγαθά copies κτώνται.
Love is like oxygen, You get too much you get too high
Not enough and you're gonna die, Love gets you high

Απάντηση

Επιστροφή στο “PHP Προγραμματισμός”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 0 επισκέπτες