Stránka: 1 z 1
| [ Príspevkov: 17 ] | |
| Autor | Správa |
|---|
Registrovaný: 25.12.09
Prihlásený: 03.07.11
Príspevky: 133
Témy: 39 | 39 |
Zdravim,
Aky pouziva phpBB system pre zahashovanie hesiel? A ako by som toto heslo mohol odhashovat?
|
|
Registrovaný: 12.10.06
Prihlásený: 26.04.26
Príspevky: 20990
Témy: 79 | 79
Bydlisko: Banska Byst... |
nijak, pretoze hash je len jednosmerny algoritmus.
_________________
Ryzen 7 3700X | SilentiumPC Fera 3 | Asrock X570M Pro4 | Kingston FURY 32GB DDR4 3600 MHz CL18 Beast Black | Gainward RTX4060 Ti Pegasus 8GB | Samsung 970evo Plus 250GB NVMe | Corsair MP510 1TB NVMe | Samsung 980 Pro 2TB NVMe | Corsair RM550x | 32" Samsung ViewFinity S60UA | 3x Noctua NF-S12B redux 1200 PWM
Xiaomi 14T 256GB |
|
Registrovaný: 25.12.09
Prihlásený: 03.07.11
Príspevky: 133
Témy: 39 | 39 |
Aha uz mi je to jasne, cize tou funkciu md5 si zahashujem to heslo ale neda sa uz dekryptovat. Cize porovnat ci je spravne zadane ho mozem iba ak uzivatelom zadane heslo tiez zahacsiujem a ten retazec porovnam.
Mna to pomylilo lebo doteraz so pouzival triedy kde sa da encryptovat a decryptovat. Takze vravis, ze md5ka je jednostranna zalezitost. Zaujimave... Nie je to nebezpecne? Prave som pozeral, ze existuju dost rozsiahle databazy na dekryptovanie takychto retazcov. Mozno by bolo idealne pozit nejaky kluc a potom to este md5kovat. nie? Ako to riesi phpBB?
|
|
Registrovaný: 12.10.06
Prihlásený: 26.04.26
Príspevky: 20990
Témy: 79 | 79
Bydlisko: Banska Byst... |
nieje to nebezpecne, pretoze to musis crackovat jedine bruteforce utokom, a to par rokov potrva ak mas dobre heslo
_________________
Ryzen 7 3700X | SilentiumPC Fera 3 | Asrock X570M Pro4 | Kingston FURY 32GB DDR4 3600 MHz CL18 Beast Black | Gainward RTX4060 Ti Pegasus 8GB | Samsung 970evo Plus 250GB NVMe | Corsair MP510 1TB NVMe | Samsung 980 Pro 2TB NVMe | Corsair RM550x | 32" Samsung ViewFinity S60UA | 3x Noctua NF-S12B redux 1200 PWM
Xiaomi 14T 256GB |
|
Registrovaný: 25.12.09
Prihlásený: 03.07.11
Príspevky: 133
Témy: 39 | 39 |
Ja neviem ale nedavno bol hacknuty pokec a ten tusim pouziva md5ku a myslim, ze nebol problem cracknut aj velke hesla...
|
|
Registrovaný: 11.08.07
Príspevky: 4088
Témy: 34 | 34
Bydlisko: Brno |
phpBB3 ma vlastny algoritmus, pouziva sa jednak md5, na zachovanie kompatibility pri konverzii z phpBB2, plus salting a nejake zlozitosti. Nepodari sa ti to rozlustit.
|
|
Registrovaný: 12.10.06
Prihlásený: 26.04.26
Príspevky: 20990
Témy: 79 | 79
Bydlisko: Banska Byst... |
Antuanet píše: Ja neviem ale nedavno bol hacknuty pokec a ten tusim pouziva md5ku a myslim, ze nebol problem cracknut aj velke hesla...
ze sa ohanas prave pokecom, kde 99% ludi ma hesla janko123 a podobne amaterske blbosti 
Staci si dat heslo typu HxqHHslVfg456//. - a nerozhesluje to nik pocas tvojho zivota.
_________________
Ryzen 7 3700X | SilentiumPC Fera 3 | Asrock X570M Pro4 | Kingston FURY 32GB DDR4 3600 MHz CL18 Beast Black | Gainward RTX4060 Ti Pegasus 8GB | Samsung 970evo Plus 250GB NVMe | Corsair MP510 1TB NVMe | Samsung 980 Pro 2TB NVMe | Corsair RM550x | 32" Samsung ViewFinity S60UA | 3x Noctua NF-S12B redux 1200 PWM
Xiaomi 14T 256GB |
|
Registrovaný: 25.12.09
Prihlásený: 03.07.11
Príspevky: 133
Témy: 39 | 39 |
jasne alebo este lepsie:
OHioh54IJOJoi544dfsIOJsf4sdf654sJIOJsdf54sdj
|
|
Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3114
Témy: 233 | 233
Bydlisko: Nové Zámky |
_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď |
|
Registrovaný: 26.12.06
Prihlásený: 16.11.19
Príspevky: 3971
Témy: 181 | 181
Bydlisko: Nitra / Bra... |
shiro píše: Staci si dat heslo typu HxqHHslVfg456//. - a nerozhesluje to nik pocas tvojho zivota.
ak dobre pamatam, aj hesla takehoto typu boli na pokeci rozlustene 
_________________
Sorry za prelkepy |
|
Registrovaný: 25.12.09
Prihlásený: 03.07.11
Príspevky: 133
Témy: 39 | 39 |
Ved to. Neviem ako to tu mate so skusenymi uzivatelmi ale zatial mi vzdy viac poradili normalni(alebo moder.). Ok, diki za ozrejmenie. Zatial som pouzival len kryptovacie triedy, mozno po tomto vyuzijem aj md5.
|
|
Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3114
Témy: 233 | 233
Bydlisko: Nové Zámky |
Bezpecnejsie by bolo pouzitie kombinacie:
sha1(md5())
_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď |
|
Registrovaný: 16.01.08
Prihlásený: 27.03.13
Príspevky: 641
Témy: 144 | 144
Bydlisko: Žilina |
ja sa chcem len trochu OT spytat, ktore je bezpecnejsie: md5 alebo sha1? a to sha1(md5($string)) je dost bezpecna kombinacia, ze? nezatazuje to nejak zbytocne navyse server?
(p.s.: ak sa pytam blbost, tak sry  )
DIK
_________________
Mac Book Pro 15.4", CPU: Intel Core 2 Duo 2.8 GHz, RAM: 4GB DDR3, HDD: 500 GB, VGA: 512MB GDDR3, OS: Mac OS X Lion; Mobil: HTC ONE S |
|
Registrovaný: 30.05.06
Prihlásený: 08.10.14
Príspevky: 1756
Témy: 35 | 35
Bydlisko: BA - WESTSIDE |
Sha1 je "bezpečnejšie", ale aj v tom sa už našli nejaké chyby, existujú ešte sha2 a sha256, ale tie si treba doinštalovať.
Každopádne, ani sha1 ti nepomôže, ak to heslo nebudeš saltovať. To znamená, že k heslu ešte prihodíš nejaký vééééľmi dlhý náhodný reťazec zo všetkých možných aj nemožných znakov a to celé zahašuješ (napr. heslo nbusr123 + salt dsij45DSFcfdsäú--+ds/dsz&@r23!dwwsdcc5FCSDerHJJY%ertfgfd^dfs~kkS alebo ešte dlhší). Ako správne saltovať, to si už niekde nájdi: http://www.google.sk/search?q=password+salting
Opakované použitie hašovacích funkcií jednu cez druhú už veľmi bezpečnosť nezvyšuje.
_________________
A. S. Tanenbaum píše: The terms LF, MF, and HF refer to low, medium, and high frequency, respectively. Clearly, when the names were assigned, nobody expected to go above 10 MHz, so the higher bands were later named the Very, Ultra, Super, Extremely, and Tremendously High Frequency bands. Beyond that there are no names, but Incredibly, Astonishingly, and Prodigiously high frequency (IHF, AHF, and PHF) would sound nice. |
|
Registrovaný: 27.04.08
Prihlásený: 05.07.15
Príspevky: 52
Témy: 13 | 13
Bydlisko: Dolny Kubin |
Blackshadow píše: Bezpecnejsie by bolo pouzitie kombinacie:
sha1(md5())
pouzit sha1(md5(XXX)) nepouzivaj, je to rovnake ako samotne sha1 ....
Odporucam: pouzivat sha1 (a na podstranke, kde sa prihlasovaci formular nachadza, je najlpesie zadat IP kontorlu... Cize ked 10 krat niekto netrafi z jednej IP heslo. Tak proste zablokovat stranku z tej IP, popripade spustit nejaky header, nech sa neda pouzit brute force ....
|
|
Registrovaný: 25.12.09
Prihlásený: 03.07.11
Príspevky: 133
Témy: 39 | 39 |
p360t píše: Sha1 je "bezpečnejšie", ale aj v tom sa už našli nejaké chyby, existujú ešte sha2 a sha256, ale tie si treba doinštalovať.
Ak ma najnovsiu veziu tak netreba
|
|
Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1585
Témy: 96 | 96 |
"bezpečnejšie" - čítali ste niekto v čom spočíva tá chyba v md5? Keď si to prečítate, zistíte, že na heslá to je aj tak jedno.
_________________
neříkejte, že něco nejde udělat, protože se vždycky najde nějaký blbec, co neví, že to nejde – a udělá to! |
|
Stránka: 1 z 1
| [ Príspevkov: 17 ] | |
|
