unlock MD5

[goma smile]

Man ir tāds dīvains jautājums vai ir iespējams uzlaust vai atšifrēt md5 un kāda atš4irība ir starp md5 un hash vai tas ir taspats tikai žargons padomājot

 

un ja ir iespējams ar kādu programu cik ilgu laiku 1 md5 būtu jauzlauž?

[cucumber]

atlauzt vel laikam nav iespejams, bet trast lidzigu ir gan

 

"md5 reverse" google izdoas daudz intersantus linkus

[bubu]

Būtu labāk palasījis atbilstošu lieteratūru, nevis uzdevis tādus jautājumus...

MD5 ir hašfunkcija. Tie nav sinonīmi. Tāpat kā BMW ir auto, nevis BMW un auto ir sinonīmi.

Un, kā jau cucumber saka, hešfunkcijas nelauž (ja vien tev nav iemesls/profesija meklēt problēmas pašu hešfunkciju uzbūvē/algoritmos). Hešfunkcijām parasti taisa pilnu/ne-tik-pilnu pārlasi meklējot kolīzijas.

[Aleksejs]

hash (jeb TTC iemīļotais termins jaucējfunkcija) ir funkciju klase - md5 ir viena no kriptogrāfiski drošām (vairs jau ne) hash funkcijām.

Sīkāk par šo tēmu bija diskutēts šeit:

http://php.lv/f/index.php?showtopic=8576

[goma smile]

Vispār parakņājoties internetā es atradu maziņu datubāzīti, kur tomēr vairāk kā 33,500,000 atšifrējumi ievadot savu iemīļotu paroli es atšifrējumu nedabūju bet citas kā piemēram 1 123 atšifrējums bija es domāju ka pēc pāris gadiem tā datubāze bus liela

[Aleksejs]

Lūdzu, nelieto vārdu "šifrēt" šajā kontekstā. :)

[bubu]

Liela, vai ne-liela, tam nav nozīme. md5 hašfunkcijas rezultāta izmērs ir 128biti. Lai saglabātu visus iespējamos 160 bitu skaitļus būs nepieciešami divi pakāpē 88 terabaiti. Tas ir aptuveni skaitlis, kurš pierakstās kā 1 un 26 nulles. Tā ka skaitlis 33 miljoni (7 cipari) ir nieks salīdzinot ar 26 ciparu sakitli.

Tas ir nereāli. Pat vienu miljono daļu no tā salabāt ir nereāli. Arī pēc pāris gadiem.

[Delfins]

tagad plus minus nopietnos projektos hešo nevis pliku passwordu, bet konketenāciju ar kādu konstanti, kas norādīta parametros, maksimizējot iespējas neatrast sinonīmu, jo hešošanas strings nu jau ir >10 :)

[Klez]

diez vai tajā db būs vardi ar lv simboliem ...

un ja būs tad viņi būs neloģiski ...

pieņemsim ka robots tos vārdus tulko ar googli vai kādu citu tulkotāju..

 

un pēc pāris gadiem varbūt ka normāls dators būs ar 6ghz cpu ...

vai 3ghz bet jaudas ziņā ekvivalents ...

vai arī 3ghz divprocesoru plate un teiksim katrā cpu pa 8 kodoliem ...

tad md5 hashu ar maziem burtiem un cipariem varētu samērā ātri brutaforsēt

 

un protams tiek izmantots arī sāls un visādas citādas aizsargfunkcijas ...

un tas ka tev rokā ir 32 simbolu virkne kas izskatās kā md5 varbūt nemaz nav md5 ...

Edited March 16, 2009 by Klez

[goma smile]

vienalga daudzi lieto paroli tikai no viena tipa simpobiem

 

burti viena tipi piemēram "mamma"

 

vai ari tikai skaitļus kas bieži vien ir telefon numurs.

 

reti izmanto 123AadDg neloģistkus nesakarīgus simbolus kas bieži vien neko neizsaka

[bubu]

Klez, nemaz tik ātri nevarēs. Patlaban pieņemamā laikā CPU var pārlasīt 6 simbolus. Ja izmanto GPU (videokarti) tad ap 7 simboliem.

Katrs nākamais simbols aprēķinus paildzina ap 36 reizēm (ja ņem vērā tikai mazos burtus un ciparus) neatkarīgi no cpu jaudas. Ja tu 1 h laikā vari apstrādāt 7 simbolus. Tad 8 prasīs jau uzreiz 36h. 9 - vairāk kā pusotrs mēnesis.

Paņemsi paroli kā 12-13 simbolus - un tev tā pietiks vēl vismaz uz gadiem 10 vismaz, lai CPU jauda nepietiktu to bruteforcēt. Tas protams, ja parole tiek tiešā veidā hašota bez salt'a - īstenībā ar salt'u sanāks vēl nereāli ilgāk.

[cucumber]

vienalga daudzi lieto paroli tikai no viena tipa simpobiem

 

burti viena tipi piemēram "mamma"

 

vai ari tikai skaitļus kas bieži vien ir telefon numurs.

 

tu ta doma (:

 

 

ps. dala taisnibas tev ir, bet parast tie ir iesaceja limena dator lieotaji

[Aleksejs]

Arī par paroļu glabāšanu esam jau runājuši. Neviens neglabā vienkāršu hash('mamma'); bet gan hash('JGHDFUI75q5938qhfdasdyi7856jhKHG^R643742gerhj2i7758' . 'mamma');

[goma smile]

mes runājam pa šī md5 atšifrējumu nevis glabāšanu.

 

Proti labi es kautkā tieku pie Hash JGHDFUI75q5938qhfdasdyi7856jhKHG^R643742gerhj2i7758 bet man intresēja un drošvien citiem intresē vai no ši hash var izvilkt mammu :)

[bubu]

Tu nesaprati, ko Aleksejs tev gribēja pateikt.

To domā, ka ja tev ir $passwod = "mamma"; tad kods, kas saglabā paroles hešu datubāzē/failā izskatās šādi:

$password = "mamma";
$hash = md5($password);
write_to_db($hash);

Tas nav pareizi! Normalā softā tā neviens nedara!

 

Tur parasti ir šāds kods:

$salt = "ASDQ*P({A1982749ASDLHNL)(!(@*^$@#&*(";
$password = "mamma";
$hash = md5($salt . $password);
write_to_db($hash);

 

Respektīvi tur hašs tiek rēķināts no stringa "ASDQ*P({A1982749ASDLHNL)(!(@*^$@#&*(mamma" nevis vienkārši "mamma".

 

Tagad iedomājies tu dabū savu hašu 123ABCDE3711...FFE123D. Un tad tu liksi tajā DB meklēt šo hašu. Bet DB ir jābūt iekšā stringam "ASDQ*P({A1982749ASDLHNL)(!(@*^$@#&*(mamma" lai atrastu šo hašu. Vienkarši uz "mamma" tur būs pavisam cits hešs, kurš neatbildīs tam kā softs rēķina hašu no paroles.

 

Kā redzi, ja katrs softs izmantos savu unikālu sāli, tad nekādas DB tev nelīdzēs. Līdzēs tikai bruteforcēšana (pilnā pārlase), kura pie pietiekami gara sāls aizņems nenormāli ilgu laiku (miljoniem gadu).