Regex no ASCII simboliem

[Grey_Wolf]

Palikt zem pogas, lai nevar nospiest.

Uz Caps Lock viņam droši vien uzkonfigurēta kāda funkcija, tāpēc arī slēgājas.

aa nu jaa... /me iebremzeeja :(

nee, nav gan .. sk. augstak manu edit.

[codez]

a par parolju glabashanu kaa hashsumm, tas ir koks ar diviem galiem :(

Zinams ka hashsummas var sakrist ar vairakiem vardiem, attieciigi pie brutalforce varjanta hashsumaa buus uzlauzama atraak

Pat, ja izmanto novecojušo MD5, kurš ģenerē 128 bitu hash-us, tad pilna pārlasei būs 2^128, kas ir skaitlis ar virs 35 cipariem, kas pilnai pārlasei prasīs mūžību^2.

[Aleksejs]

Ieguvumi, ko dod tas, ka paroles neglabājas atklātā tekstā ir daudz mazāki par trūkumu, ka dažādu paroļu hashsummām ir [astronomiski zema] iespēja sakrist.

Bez tam pareizi "sasālīti" un "izstiepti" šie paroļu hashsummu attēli pat vienādām parolēm dažādiem lietotājiem ar ļoti augstu varbūtību nesakritīs.

[Grey_Wolf]

codez -> ta ir teorija :(

prakse rada ko citu, hashsummas musdienas ar brutlforce lauzj dudz atrak nekaa plaintext, gluzji vienkarshi taa iemesla delj ka uz 8 simbolu paroli var trapiities arii 2 un vairak vienadas hashsummas, tur pretii plain buus reali tikai viena ...

veiksmes gadijuma hashsumm tiks atlauzta 2x atraak (kaut reala parole arii netiks dabuuta, bet gan simbolu virkne kas dos to pshu rezultatu [hshu])

--

Edit:

Bez tam pareizi "sasālīti" un "izstiepti" šie paroļu hashsummu attēli pat vienādām parolēm dažādiem lietotājiem ar ļoti augstu varbūtību nesakritīs.

ja "salij" izmantos Usernami(kaut dalju) tad jaa.

Shis bij tikai 'teorizejums', kautgan abos gadijumos tiek parbaudita ne tikai parole, bet arii username ...

Edited September 24, 2010 by Grey_Wolf

[codez]

prakse rada ko citu, hashsummas musdienas ar brutlforce lauzj dudz atrak nekaa plaintext, gluzji vienkarshi taa iemesla delj ka uz 8 simbolu paroli var trapiities arii 2 un vairak vienadas hashsummas,

nesmīdini,

2^128 > 10^38

pat pieņemot, ka starp pirmajām 128 bitu kombināciju parolēm, vienādus hash-us ģenerē 100 000 000 = 10^8 paroles, tad tik un tā paliks 10^30 paŗbaudes, kuras jāveic. Pat, ja tev izdodas veikt 1000 pārbaudes sekundē, tev nāksies to darīt 10^27 sekundes. Ja gadā ir 3*10^7 sekundes, tad attiecīgi tev to būs jādara 3*10^19 gadus. Savukārt sqrt(3*10^19)= aptuveni visuma vecums, jo kā izriet, ka šāda pilnā pālase aizņems mūžību kvadratā.

Bet, ja tev maz ar teroiju, tad lūdzu,

md5('qwerty') == 'd8578edf8458ce06fbc5bb76a58c5ca4'

atrodi vēl vienu stringu, kuram ir tāda pati md5 hash vērtība.

 

 

 

veiksmes gadijuma hashsumm tiks atlauzta 2x atraak (kaut reala parole arii netiks dabuuta, bet gan simbolu virkne kas dos to pshu rezultatu [hshu])

mūžība^2/2 tik un tā ir daudz vairāk kā mūžība. Veiksme šeit nepalīdzēs.

[Grey_Wolf]

Bet, ja tev maz ar teroiju, tad lūdzu,

md5('qwerty') == 'd8578edf8458ce06fbc5bb76a58c5ca4'

atrodi vēl vienu stringu, kuram ir tāda pati md5 hash vērtība.

mūžība^2/2 tik un tā ir daudz vairāk kā mūžība. Veiksme šeit nepalīdzēs.

Ja buus gan nohashota, gan nenohashota(plain) tad pirma gadijumaa varbutiba atrast paroli ir lielaka nekaa otrajaa..

(ja zinams max paroles garums)

Es tik apriinoju tavu parlieciibu par to ka Hashh ir neuzveicams. ja labi zinams ka ir jau n-tas progas kas sameraa atri atrod dotoo hashsummmu (pameklee matee googlee), arii shet pat forumaa pasen bija plasha diskusija par sho temu, kaa arii ieksh BOOT foruma, kur pat bija tiiri reali rezultaati ...

Taa kaa shii mana parlieciiba Nav no gaisa pagrapta

P.S. protams nesaku ka Plain texta glabat paroles ir pratiigi (Jau agstak mineju ka ts ir 'koks ar diviem galiem')

----------

Edit: nu padomaa pats: ja pastav iespeja ka parlasot paroles (BF) hassumas var sakrist. Tad pastav iespeja ka selektivi parlasot paroles kada no hassumaam sakriitiss daudz atrak nekaa ja buutu parmeklets plaintext (kur iespeja ka sakritiis ==0 )

Edited September 24, 2010 by Grey_Wolf

[codez]

GW, tev vispār kaut ko izsaka skaitlis 10^38 un tava sākotnējā apgalvojuma pilnīgais absurdums?

[Grey_Wolf]

GW, tev vispār kaut ko izsaka skaitlis 10^38 un tava sākotnējā apgalvojuma pilnīgais absurdums?

Es velreiz atkartoshos. MD5 algoritms NEIZSLEDZ iespeju ka vina un ta pasha Hesshuma nevar buut PILNIGI dazaadiem stringiem ..

Tiesham tik gruuti pasham pameklet Netaa informaciju par sho ?

P.S. uzminet paroli tiesham ljoti maza varbuutiiba, bet ja tiek saliidzinatas hasshumas tad nemaz nav jazin orginala parole, pietiks ja atradiisi stringu kuram buus tada pati hashsumma

Edited September 24, 2010 by Grey_Wolf

[bubu]

codez: Grey_Wolf droši vien domā drusku citu lietu. Viņš noteikti negrib pateikt to, ka patvaļīgai hašsummai var atrast plaintekstu ar bruteforce. Tas, protams, ir aplams pieņēmums. Grey_Wolf izteikšanās stils brīžiem ir confusing. Viņš droši vien grib pateikt to, ka, tā kā lietotāji par paroli izvēlās īsus vai vienkāršus vārdus, tad bruteforcē pārbaudod šos īsos vārdus un zināmos vārdus (dictionary attaki), tad tieši šīm hešsummām varēs atrast cleartekstu. Ierakstot gūglē "md5 online database" var uziet vairāks lapas, kurā ierakstot tavu "d8578edf8458ce06fbc5bb76a58c5ca4" tas momentā dod atbildi "qwerty". ( http://md5online.net/ vai http://www.md5decrypter.co.uk/ ).

 

Pie tam, meklējot patvaļīgai md5 hešsummai (2^128 varianti) cleartektu jāņem ir vērā Birthday paradox.

No http://en.wikipedia.org/wiki/Birthday_attack tabulas var redzēt, ka ar 50% varbūtību paroli var "uzminēt" atrodod hash collisionu pārbaudot "tikai" bišku vairāk kā 10^19 elementus, nevis 10^38/2 kā varbūt šķiet, ka notiksies "veiksmes gadījuma".

 

 

Es velreiz atkartoshos. MD5 algoritms NEIZSLEDZ iespeju ka vina un ta pasha Hesshuma nevar buut PILNIGI dazaadiem stringiem ..

Tiesham tik gruuti pasham pameklet Netaa informaciju par sho ?

Savukārt tev vajadzētu saprast, ka codez jau nu šito ļoti labi saprot :)

[codez]

codez: Grey_Wolf droši vien domā drusku citu lietu. Viņš noteikti negrib pateikt to, ka patvaļīgai hašsummai var atrast plaintekstu ar bruteforce. Tas, protams, ir aplams pieņēmums. Grey_Wolf izteikšanās stils brīžiem ir confusing. Viņš droši vien grib pateikt to, ka, tā kā lietotāji par paroli izvēlās īsus vai vienkāršus vārdus, tad bruteforcē pārbaudod šos īsos vārdus un zināmos vārdus (dictionary attaki), tad tieši šīm hešsummām varēs atrast cleartekstu.

Nē, jo mūsu dialogs sākās ar to, ka viņš izteicās par paroles glabāšanu hash vs. plain.

Ku hash-am norādījā slikto pusi kā brute force uzbrukumu.

Ja mēs ņemam, ka viņš domātu dictionary attack, tad jazin ir pats hash, kurš hash vs. plain diskusijas kontekstā nozīmētu, ka otrā adījumā būtu zināma plain parole.

Tas par ko viņš runāja, bija brute force uzbrukumus, piem. serverim padodot paroli.

Pat izlaižot cauri visus praktisko pastākļus, ka pēc n reizēm nepareižu paroļu paprasītu kapču un automtatižeta sistēma pat nebūtu iespējama, viņs apelēja pie tā, ka, ja paroli glabā hash-ā, tad to ir vieglāk uzminēt.

Es tikai izteicos, ka šāds apgalvojums ir absurds, jo netiek ņemts vērē prakstiskai hash-u variantu skaits.

 

 

Pie tam, meklējot patvaļīgai md5 hešsummai (2^128 varianti) cleartektu jāņem ir vērā Birthday paradox.

No http://en.wikipedia.org/wiki/Birthday_attack tabulas var redzēt, ka ar 50% varbūtību paroli var "uzminēt" atrodod hash collisionu pārbaudot "tikai" bišku vairāk kā 10^19 elementus, nevis 10^38/2 kā varbūt šķiet, ka notiksies "veiksmes gadījuma".

šis arī nebūs attiecinām uz šo variantu.

Birthday attack raksta tabulā apskatot 10^19 variantus, starp viņiem (tiem 10^19) atradīs ar 50% varbūtību 2 vienādus (f(x1)==f(x2)), bet mēs runājam par hash-a atrašanu jau esošam hešam (f(x1)==H), tāpēc šijā gadījumā 50% varbūtība būs 10^38/2, ja hash-s neatkārtojas vai 10^38/(2*m), ja hash-s atkārtojas m reizes.

Edited September 24, 2010 by codez

[Aleksejs]

Es starp citu esmu resursos devis arī atsauces uz labām onlainā pieejamām labām grāmatām/resursiem par kriptogrāfiju, kurās pamatīgi iztirzāta arī hash funkciju kolīziju meklēšana (~;

Tas tā, ja kādam ir pastiprināta interese.