Obsah fóra
PravidláRegistrovaťPrihlásenie




Odpovedať na tému [ Príspevkov: 37 ] Choď na stránku: predchádzajúca 1, 2
AutorSpráva
Offline

Skúsený užívateľ
Skúsený užívateľ
Obrázok užívateľa

Registrovaný: 17.07.11
Prihlásený: 29.12.20
Príspevky: 1516
Témy: 3
Príspevok NapísalOffline : 17.04.2013 21:06

Ak máš k dispozícií len ten jeden hash, tak určite nie.







_________________
Na súkromné správy týkajúce sa problémov, ktoré sa riešia vo fóre, neodpovedám!
Offline

Skúsený užívateľ
Skúsený užívateľ
DDoS attack

Registrovaný: 24.01.08
Prihlásený: 13.09.17
Príspevky: 14572
Témy: 66
Bydlisko: Žilina
Príspevok NapísalOffline : 17.04.2013 21:24

Citácia:
kedze ku kazdemu hashu zodpoveda nekonecne vela vzorov

Prosím? Podstata hashovania je práve v tom, že jeden vzor => jeden hash. Pokiaľ to tak nie je, hovorí sa o kolíziách, čo je jedným z problémov MD5, čiže aj dôvodom prečo na MD5 zabudnúť. Jednoduché heslá si môžeš dokonca zdarma "dekódovať" cez rôzne webové stránky, ktoré vedia robiť slovníkové útoky.

Nechápeš jednu vec - útočník nepotrebuje poznať skutočné heslo, ak dokáže vyprodukovať identický výsledok pomocou kolízie ;)

Pokiaľ viem, aj samotný autor MD5 vyhlásil, že sa tento algoritmus už nedá považovať za bezpečný.







_________________
C#, PHP, ...
Offline

Skúsený užívateľ
Skúsený užívateľ
Obrázok užívateľa

Registrovaný: 17.07.11
Prihlásený: 29.12.20
Príspevky: 1516
Témy: 3
Príspevok NapísalOffline : 17.04.2013 21:37

walther píše:
jeden vzor => jeden hash

Prosím? Zobrazenie z nekonečnej množiny reťazcov do práve N bitového reťazca má naozaj nekonečne mnoho vzorov. Hashovacia funkcia by mala spĺňať tzv. bezkoliznosť a to znamená, že je odolná proti dvom typom kolízií:
Kolízia 1. rádu: Nájdenie dvoch reťazcov, ktoré dajú rovnaký hash (to je jedno akých, len nech dajú rovnaký hash)
Kolízia 2. rádu: Nájdene reťazca, ktorý dá konkrétny jeden hash.
Každá hashovacia funkcia má takéto kolízie (samozrejme že má, to vyplýva z tej mojej úvodnej vety) Odolnosť hashovacej funkcie sa potom "meria" tým, koľko by sme museli počítať, aby sme tieto kolízie našli. U md5-ky sa ukázalo, že nájsť kolíziu 1. rádu dnes nie je problém. U tej 2. už neviem ako to je (ale ako som písal, aj brute-force dnes vie dobehnúť v desiatkach minút s veľkou pravdepodobnosťou úspechu)
A hlavne preto md5 proste nie. V škole nám dokonca už ani sha1 neodporúčali a radia nám používať sha256 a viac (A pánovi profesorovi ja verím :D )







_________________
Na súkromné správy týkajúce sa problémov, ktoré sa riešia vo fóre, neodpovedám!
Offline

Skúsený užívateľ
Skúsený užívateľ
DDoS attack

Registrovaný: 24.01.08
Prihlásený: 13.09.17
Príspevky: 14572
Témy: 66
Bydlisko: Žilina
Príspevok NapísalOffline : 17.04.2013 21:54

Samozrejme som sa odvolával na to, čo si povedal aj ty ("by mala spĺňať"). Skutočnosť je bohužiaľ niekde inde, ale pointa ostáva - md5 používať po tom, ako ho označil vlastný autor sa "nie bezpečný" je prinajlepšom na zamyslenie...

MD5's designer Ron Rivest wrote, "md5 and sha1 are both clearly broken (in terms of collision-resistance)."







_________________
C#, PHP, ...
Offline

Skúsený užívateľ
Skúsený užívateľ
Obrázok užívateľa

Registrovaný: 17.07.11
Prihlásený: 29.12.20
Príspevky: 1516
Témy: 3
Príspevok NapísalOffline : 17.04.2013 22:03

Ja len, že mi to tvoje vyznelo čudne - akoby každý hash mal len jeden vzor a md5 mala kolízie. A to je trochu blbosť. Tak som sa trochu rozpísal a čo :D

Ale samozrejme treba spomenúť aj to, že ak si robím fórum, alebo eshop, kde mám 10 návštevníkov denne, tak mi tá sha1 kľudne poslúži, aj tak ma nikto hekovať nebude, aj keby som tam dal md5-ku so soľou. Tieto úvahy o zraniteľnosti sú podstatné až pri väčších projektoch, kde je vyžadovaná vysoká bezpečnosť. A to nie len pri heslách, ale aj pri autorizácií komunikácie, verifikácií podpisov, certifikátov, súborov a kto vie čo ešte.







_________________
Na súkromné správy týkajúce sa problémov, ktoré sa riešia vo fóre, neodpovedám!
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.10.08
Príspevky: 230
Témy: 62
Bydlisko: Bratislava
Príspevok NapísalOffline : 18.04.2013 0:07

Autor ho oznacil za nie bezpecny pravdepodobne koli nizkej casovej zlozitosti hladaniu kolizii, co je samozrejme bezpecnostny problem, ale podla mna nie pri ukladani hesiel (so solou, tam ti standartne algoritmy na hladanie kolizii md5 asi moc nepomozu)


Offline

Skúsený užívateľ
Skúsený užívateľ
Obrázok užívateľa

Registrovaný: 17.07.11
Prihlásený: 29.12.20
Príspevky: 1516
Témy: 3
Príspevok NapísalOffline : 18.04.2013 0:49

pogo, v praxi ťa ale v drvivej väčšine prípadov konkrétne heslá vôbec nezaujímajú.
Ak by si si ale teda stiahol trebárs databázu pcforum.sk a mal hashe v md5 so soľou (napr.) Vieš, že ľudia typicky používajú krátke heslá - tak do 15 znakov, k tomu pripočítaš nejakú sol - na tú sú ľudia tiež leniví, takže budeš hľadať vzory trebárs do 30-40 znakov dlhé. Nebavme sa teraz o zložitosti hľadania - ak si schopný nájsť ich, je veľká pravdepodobnosť, že už pri jednom, či dvoch rozlúsknutých hashoch odhalíš soľ. Bude to typicky reťazec typu mojehesloB.2/s.saA-1__2. A keď už máš soľ, tak môžeš ostatné hashe lúskať v podstatne nižšom čase, pretože hľadáš len reťazce do tých 15 znakov a ku každému pridáš soľ. A na 15 znakov v dnešnej dobe pustíš kľudne aj brute-force na lepšiej grafickej karte doma.

Solenie hľadanie sťažuje, ale aj pri zložitejších technikách solenia je to prekonateľná prekážka. A tiež je pravdepodobné, že ak máš prístup k databáze, môžeš mať prístup aj k zdrojovým kódom. A tam uź si pozrieš, ako to robia.







_________________
Na súkromné správy týkajúce sa problémov, ktoré sa riešia vo fóre, neodpovedám!
Odpovedať na tému [ Príspevkov: 37 ] Choď na stránku: predchádzajúca 1, 2


Podobné témy

 Témy  Odpovede  Zobrazenia  Posledný príspevok 
V tomto fóre nie sú ďalšie neprečítané témy. DDoS?

v Ostatné

2

582

22.09.2010 18:15

d0.0b Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Dos/Ddos

v Bezpečnosť a firewally

3

1057

29.01.2012 20:12

tairikuokami Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Anti ddos linux?

v Bezpečnosť a firewally

2

975

10.10.2015 3:12

waro1234 Zobrazenie posledných príspevkov

Táto téma je zamknutá, nemôžete posielať nové príspevky alebo odpovedať na staršie. Najväčší DDoS útok na svete

v Novinky

3

1214

15.09.2008 20:32

eXistenZ Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Na stránky scientologickej cirkvi DDoS útok

v Novinky

2

445

26.01.2008 19:43

pitrik1 Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Spyware attack

v Antivíry a antispywary

8

1050

03.02.2009 13:54

Kosak Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Brut-force attack

v Bezpečnosť a firewally

6

561

04.09.2012 18:57

Arachno Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. DCOM Exploit attack by...

v Antivíry a antispywary

2

756

31.01.2009 23:09

Oliver Antiesse Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. P: Logitech attack 3

v Predám

0

186

19.04.2013 20:45

P3T077 Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. [FPS]Sudden Attack (CS style)

v Počítačové hry

15

791

15.08.2011 14:15

jawakiller Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. P: Joystick Logitech Attack 3

v Predám

1

325

16.11.2012 23:11

Thomas4492 Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Detect DNS cahe poision attack

v Bezpečnosť a firewally

0

440

02.03.2010 14:37

kabell987 Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Anonymouse žiadajú Obamu aby uznal DDoS útoky ako legálnu fo

[ Choď na stránku:Choď na stránku: 1, 2 ]

v Novinky

51

1445

26.01.2013 20:55

jarrro Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. P: MSI 460GTX Hawk TALON ATTACK

v Predám

7

644

15.05.2013 18:03

Mortus Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. I: MSI GTX460 1GB HAWK Talon Attack

v Informujem sa

6

790

03.09.2012 12:36

Figio Zobrazenie posledných príspevkov

Táto téma je zamknutá, nemôžete posielať nové príspevky alebo odpovedať na staršie. P: pokazenu MSI GTX 460 Hawk Talon Attack 1GB

v Predám

4

402

19.02.2014 20:28

Andre Zobrazenie posledných príspevkov


Nemôžete zakladať nové témy v tomto fóre
Nemôžete odpovedať na témy v tomto fóre
Nemôžete upravovať svoje príspevky v tomto fóre
Nemôžete mazať svoje príspevky v tomto fóre

Skočiť na:  

Powered by phpBB Jarvis © 2005 - 2024 PCforum, webhosting by WebSupport, secured by GeoTrust, edited by JanoF
Ako väčšina webových stránok aj my používame cookies. Zotrvaním na webovej stránke súhlasíte, že ich môžeme používať.
Všeobecné podmienky, spracovanie osobných údajov a pravidlá fóra