[ Príspevkov: 37 ] 1, 2
AutorSpráva
Offline

Skúsený užívateľ
Skúsený užívateľ
Obrázok užívateľa

Registrovaný: 17.07.11
Prihlásený: 26.04.18
Príspevky: 1459
Témy: 2 | 2
Bydlisko: Praha / Rev...
NapísalOffline : 17.04.2013 21:06 | DDoS attack

Ak máš k dispozícií len ten jeden hash, tak určite nie.


_________________
Na súkromné správy týkajúce sa problémov, ktoré sa riešia vo fóre, neodpovedám!
Offline

Skúsený užívateľ
Skúsený užívateľ
DDoS attack

Registrovaný: 24.01.08
Prihlásený: 13.09.17
Príspevky: 14572
Témy: 66 | 66
Bydlisko: Žilina
NapísalOffline : 17.04.2013 21:24 | DDoS attack

Citácia:
kedze ku kazdemu hashu zodpoveda nekonecne vela vzorov

Prosím? Podstata hashovania je práve v tom, že jeden vzor => jeden hash. Pokiaľ to tak nie je, hovorí sa o kolíziách, čo je jedným z problémov MD5, čiže aj dôvodom prečo na MD5 zabudnúť. Jednoduché heslá si môžeš dokonca zdarma "dekódovať" cez rôzne webové stránky, ktoré vedia robiť slovníkové útoky.

Nechápeš jednu vec - útočník nepotrebuje poznať skutočné heslo, ak dokáže vyprodukovať identický výsledok pomocou kolízie ;)

Pokiaľ viem, aj samotný autor MD5 vyhlásil, že sa tento algoritmus už nedá považovať za bezpečný.


_________________
C#, PHP, ...
Offline

Skúsený užívateľ
Skúsený užívateľ
Obrázok užívateľa

Registrovaný: 17.07.11
Prihlásený: 26.04.18
Príspevky: 1459
Témy: 2 | 2
Bydlisko: Praha / Rev...
NapísalOffline : 17.04.2013 21:37 | DDoS attack

walther píše:
jeden vzor => jeden hash

Prosím? Zobrazenie z nekonečnej množiny reťazcov do práve N bitového reťazca má naozaj nekonečne mnoho vzorov. Hashovacia funkcia by mala spĺňať tzv. bezkoliznosť a to znamená, že je odolná proti dvom typom kolízií:
Kolízia 1. rádu: Nájdenie dvoch reťazcov, ktoré dajú rovnaký hash (to je jedno akých, len nech dajú rovnaký hash)
Kolízia 2. rádu: Nájdene reťazca, ktorý dá konkrétny jeden hash.
Každá hashovacia funkcia má takéto kolízie (samozrejme že má, to vyplýva z tej mojej úvodnej vety) Odolnosť hashovacej funkcie sa potom "meria" tým, koľko by sme museli počítať, aby sme tieto kolízie našli. U md5-ky sa ukázalo, že nájsť kolíziu 1. rádu dnes nie je problém. U tej 2. už neviem ako to je (ale ako som písal, aj brute-force dnes vie dobehnúť v desiatkach minút s veľkou pravdepodobnosťou úspechu)
A hlavne preto md5 proste nie. V škole nám dokonca už ani sha1 neodporúčali a radia nám používať sha256 a viac (A pánovi profesorovi ja verím :D )


_________________
Na súkromné správy týkajúce sa problémov, ktoré sa riešia vo fóre, neodpovedám!
Offline

Skúsený užívateľ
Skúsený užívateľ
DDoS attack

Registrovaný: 24.01.08
Prihlásený: 13.09.17
Príspevky: 14572
Témy: 66 | 66
Bydlisko: Žilina
NapísalOffline : 17.04.2013 21:54 | DDoS attack

Samozrejme som sa odvolával na to, čo si povedal aj ty ("by mala spĺňať"). Skutočnosť je bohužiaľ niekde inde, ale pointa ostáva - md5 používať po tom, ako ho označil vlastný autor sa "nie bezpečný" je prinajlepšom na zamyslenie...

MD5's designer Ron Rivest wrote, "md5 and sha1 are both clearly broken (in terms of collision-resistance)."


_________________
C#, PHP, ...
Offline

Skúsený užívateľ
Skúsený užívateľ
Obrázok užívateľa

Registrovaný: 17.07.11
Prihlásený: 26.04.18
Príspevky: 1459
Témy: 2 | 2
Bydlisko: Praha / Rev...
NapísalOffline : 17.04.2013 22:03 | DDoS attack

Ja len, že mi to tvoje vyznelo čudne - akoby každý hash mal len jeden vzor a md5 mala kolízie. A to je trochu blbosť. Tak som sa trochu rozpísal a čo :D

Ale samozrejme treba spomenúť aj to, že ak si robím fórum, alebo eshop, kde mám 10 návštevníkov denne, tak mi tá sha1 kľudne poslúži, aj tak ma nikto hekovať nebude, aj keby som tam dal md5-ku so soľou. Tieto úvahy o zraniteľnosti sú podstatné až pri väčších projektoch, kde je vyžadovaná vysoká bezpečnosť. A to nie len pri heslách, ale aj pri autorizácií komunikácie, verifikácií podpisov, certifikátov, súborov a kto vie čo ešte.


_________________
Na súkromné správy týkajúce sa problémov, ktoré sa riešia vo fóre, neodpovedám!
Offline

Užívateľ
Užívateľ
DDoS attack

Registrovaný: 21.10.08
Príspevky: 226
Témy: 61 | 61
NapísalOffline : 18.04.2013 0:07 | DDoS attack

Autor ho oznacil za nie bezpecny pravdepodobne koli nizkej casovej zlozitosti hladaniu kolizii, co je samozrejme bezpecnostny problem, ale podla mna nie pri ukladani hesiel (so solou, tam ti standartne algoritmy na hladanie kolizii md5 asi moc nepomozu)


Offline

Skúsený užívateľ
Skúsený užívateľ
Obrázok užívateľa

Registrovaný: 17.07.11
Prihlásený: 26.04.18
Príspevky: 1459
Témy: 2 | 2
Bydlisko: Praha / Rev...
NapísalOffline : 18.04.2013 0:49 | DDoS attack

pogo, v praxi ťa ale v drvivej väčšine prípadov konkrétne heslá vôbec nezaujímajú.
Ak by si si ale teda stiahol trebárs databázu pcforum.sk a mal hashe v md5 so soľou (napr.) Vieš, že ľudia typicky používajú krátke heslá - tak do 15 znakov, k tomu pripočítaš nejakú sol - na tú sú ľudia tiež leniví, takže budeš hľadať vzory trebárs do 30-40 znakov dlhé. Nebavme sa teraz o zložitosti hľadania - ak si schopný nájsť ich, je veľká pravdepodobnosť, že už pri jednom, či dvoch rozlúsknutých hashoch odhalíš soľ. Bude to typicky reťazec typu mojehesloB.2/s.saA-1__2. A keď už máš soľ, tak môžeš ostatné hashe lúskať v podstatne nižšom čase, pretože hľadáš len reťazce do tých 15 znakov a ku každému pridáš soľ. A na 15 znakov v dnešnej dobe pustíš kľudne aj brute-force na lepšiej grafickej karte doma.

Solenie hľadanie sťažuje, ale aj pri zložitejších technikách solenia je to prekonateľná prekážka. A tiež je pravdepodobné, že ak máš prístup k databáze, môžeš mať prístup aj k zdrojovým kódom. A tam uź si pozrieš, ako to robia.


_________________
Na súkromné správy týkajúce sa problémov, ktoré sa riešia vo fóre, neodpovedám!
 [ Príspevkov: 37 ] 1, 2


DDoS attack



Podobné témy

 Témy  Odpovede  Zobrazenia  Posledný príspevok 
V tomto fóre nie sú ďalšie neprečítané témy.

DDoS?

v Ostatné

2

385

22.09.2010 18:15

d0.0b

V tomto fóre nie sú ďalšie neprečítané témy.

Dos/Ddos

v Bezpečnosť a firewally

3

601

29.01.2012 20:12

tairikuokami

V tomto fóre nie sú ďalšie neprečítané témy.

Anti ddos linux?

v Bezpečnosť a firewally

2

243

10.10.2015 3:12

waro1234

Táto téma je zamknutá, nemôžete posielať nové príspevky alebo odpovedať na staršie.

Najväčší DDoS útok na svete

v Novinky

3

998

15.09.2008 20:32

eXistenZ

V tomto fóre nie sú ďalšie neprečítané témy.

Na stránky scientologickej cirkvi DDoS útok

v Novinky

2

244

26.01.2008 19:43

pitrik1

V tomto fóre nie sú ďalšie neprečítané témy.

Spyware attack

v Antivíry a antispywary

8

877

03.02.2009 13:54

Kosak

V tomto fóre nie sú ďalšie neprečítané témy.

Brut-force attack

v Bezpečnosť a firewally

6

286

04.09.2012 18:57

Arachno

V tomto fóre nie sú ďalšie neprečítané témy.

P: Logitech attack 3

v Predám

0

65

19.04.2013 20:45

P3T077

V tomto fóre nie sú ďalšie neprečítané témy.

DCOM Exploit attack by...

v Antivíry a antispywary

2

553

31.01.2009 23:09

Oliver Antiesse

V tomto fóre nie sú ďalšie neprečítané témy.

[FPS]Sudden Attack (CS style)

v Počítačové hry

15

478

15.08.2011 14:15

jawakiller

V tomto fóre nie sú ďalšie neprečítané témy.

P: Joystick Logitech Attack 3

v Predám

1

159

16.11.2012 23:11

Thomas4492

V tomto fóre nie sú ďalšie neprečítané témy.

Detect DNS cahe poision attack

v Bezpečnosť a firewally

0

322

02.03.2010 14:37

kabell987

V tomto fóre nie sú ďalšie neprečítané témy.

Anonymouse žiadajú Obamu aby uznal DDoS útoky ako legálnu fo

[ Choď na stránku:Choď na stránku: 1, 2 ]

v Novinky

51

871

26.01.2013 20:55

jarrro

V tomto fóre nie sú ďalšie neprečítané témy.

P: MSI 460GTX Hawk TALON ATTACK

v Predám

7

381

15.05.2013 18:03

Mortus

V tomto fóre nie sú ďalšie neprečítané témy.

I: MSI GTX460 1GB HAWK Talon Attack

v Informujem sa

6

644

03.09.2012 12:36

Figio

Táto téma je zamknutá, nemôžete posielať nové príspevky alebo odpovedať na staršie.

P: pokazenu MSI GTX 460 Hawk Talon Attack 1GB

v Predám

4

157

19.02.2014 20:28

Andre



© 2005 - 2018 PCforum, edited by JanoF