michat34
20.08.2012, 19:11:39
witam, moje pytania moga sie wydac bardziej zaznajomionym w temacie troche glupie ale zapytam. hasla sie haszuje z oczywistych wzgledow. sha1, sha2 i inne algorytmy. z tego co czytalem glownym kryterium i problemem jest ilosc czasu potrzebnego na oczytanie go metoda brute-force. czy nie mozna by bylo to obejsc zwyczajnie dajac co 3 nieudane trafy przerwe 15 minutowa? czas ten tez moglby sie zwiekszac gdyby ciagle zle sie podawalo. po wielu nieudanych probach mozna by tez blokowac konto i dopiero administrator by odblokowal po przekonaniu go. to po pierwsze i po drugie:
do ukrycia ip mozna stosowac bramki proxy albo odpowiednie programy. czy administrator ma mozliwosc przejrzenia mimo to prawdziwego ip? jak testowalem uzywajac zmiennej REMOTE_ADDR to przy proxy mowil ze sa 2 rozne ip. ale czy sa mozliwosci zeby mimo to przejrzec prawdziwe ip?
pozdrawiam
pamil
20.08.2012, 20:23:20
Brute-force możmna rozumieć dwojako:
- atak bezpośrednio na stronę logowania: mamy login użytkownika, nie mamy skrótu jego hasła, testujemy wszystkie możliwe hasła po kolei
- atak na posiadany skrót: mamy skrót hasła użytkownika, próbujemy go złamać lokalnie, tetsujemy wszystkie możliwe hasła i cieszymy się jeśli hash($mozliwosc) == $hash
Hasła hashuje się aby zapobiec temu drugiemu. Opisałeś sposoby zapobiegnięcia temu pierwszemu.
michat34
20.08.2012, 21:57:22
tak w ogole to hasla haszuje sie tez ze w razie jesli zostana zlapane podczas przesylania to haker otrzyma teoretycznie nic nie dajacy zlepek znakow a nie haslo. ale przeciez przy uzyciu paru komputerow mozna, gdyby pracowaly 24/7 i ukladalyby slowa po czym je haszowaly i zapisywaly w pamieci... wtedy taki haker po .. hm nie znam sie ale mysle ze po miesiciu mialby juz sporo ukladow hasz - odszyfrowanie i moglby tylko stukac ten hasz ktory przejal i mialby haslo... czy to jest ten 2 sposob ktory opisales?
pamil
20.08.2012, 22:45:53
To nie jest aż tak proste, ale wykonalne dla słabych funkcji mieszających (md5, sha-1) - ja polecam algorytmy matematycznie wolne i poprawne.
Tak, to ten sposób, tylko zazwyczaj albo się porównuje hash w trakcie jego stworzenia, albo zapisue w tzw. tęczowych tablicach - ale dużo na ten temat można znaleźć już w internecie, ja na tym nie znam się tak dobrze, żeby o tym dokładniej mówić.
erix
21.08.2012, 10:19:06
Cytat
ale przeciez przy uzyciu paru komputerow mozna, gdyby pracowaly 24/7 i ukladalyby slowa po czym je haszowaly i zapisywaly w pamieci... wtedy taki haker po .. hm nie znam sie ale mysle ze po miesiciu mialby juz sporo ukladow hasz
Cytat
To nie jest aż tak proste, ale wykonalne dla słabych funkcji mieszających (md5, sha-1)
Panowie chyba nie słyszeli o tym, w jakim tempie można takie operacje przeprowadzić przez CUDA (obliczenia przeprowadzane na kartach graficznych).
michat34
21.08.2012, 11:41:38
przed chwila sie dowiedzialem ze sa strony gdzie sa udostepniano to co napisalem czyli wstukujesz w formularz hash i system ci pokazuje (jesli ma w bazie danych) odhaszowane haslo. jest to dostepne dla md5 i sha1 (ok 50 mln hasel dla obu). jezeli tak to te algorytmy sa teoretycznie nieefektywne... ale podobno mozna dodac sole i wtedy zmienia sie szyfr i juz te strony nie pomoga tak?
Crozin
21.08.2012, 12:52:42
Cytat
ale podobno mozna dodac sole i wtedy zmienia sie szyfr i juz te strony nie pomoga tak?
Hash, nie szyfr. Ale tak, wtedy już tablice tęczowe są właściwie bezużyteczne.
Nie mniej jednak:
1.
http://forum.php.pl/index.php?showtopic=44...0&start=1002.
http://forum.php.pl/index.php/t202617.htmlNie będziemy znowu wałkować tego samego tematu.
mrWodoo
23.08.2012, 11:55:36
Cytat(erix @ 21.08.2012, 11:19:06 )

Panowie chyba nie słyszeli o tym, w jakim tempie można takie operacje przeprowadzić przez CUDA (obliczenia przeprowadzane na kartach graficznych).
propsuje!
sam mam kartę z CUDA i naprawdę, temo powala.
Dobra lektura
http://www.codinghorror.com/blog/2012/04/speed-hashing.htmldo hashów używaj Bcrypt z 12 rundami (Manual: crypt)
a Ip właściwe można podejrzeć, ale wiele proxy to maskuje, HTTP_X_FORWARDED_FOR z $_SERVER, jeszcze może być w HTTP_CLIENT_IP
michat34
23.08.2012, 19:21:02
ok dziekuje, przeczytam te linki ktore podaliscie, mozna zamknac
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę
kliknij tutaj.