morg4n
Завсегдатай
Репутация: 4
Сообщений: 330
http://spimun.com
|
|
: 30 Декабрь 2007, 15:27
|
|
Помогите сообразить как сделать переборку букв.. ну из серии for ($i=0; $i<101; $i++) echo $i; выведет ряд от 0 до 100... а теперь внимание вопрос. нада тоже самое только чтобы к фирам для перебора добавлялись буквы знаки.. вопрос ясен?=) нужна помощь собсно рисую базу... хз зачем) http://10.23.30.153/md5.phpпока на компиле 6ти значные циферные
|
|
« Последнее редактирование: 30 Декабрь 2007, 15:42 от morg4n »
|
|
|
|
|
imperfect
|
|
Ответ #1 : 31 Декабрь 2007, 00:19
|
|
к фирам для перебора добавлялись буквы знаки.. Что-что простите? Может быть, я не в теме и тупой, но как это относится к md5? И вообще, криптостойкость md5 вызывает сомнения. Бери лучше sha
|
|
|
|
morg4n
Завсегдатай
Репутация: 4
Сообщений: 330
http://spimun.com
|
|
Ответ #2 : 31 Декабрь 2007, 00:55
|
|
к цифрам* по сабжу.. это я решил вот делать мне нечего.. сделать Mysql базу мд5 хешей 8 значных паролей.. это из серии дешифромшик мд5.. (чистой мд5..)
|
|
|
|
Intoxikata
Завсегдатай
Репутация: 22
Сообщений: 259
|
|
Ответ #3 : 02 Январь 2008, 22:15
|
|
тупо посчитаем... Торию вероятности позабыл уже, поэтому на пальцах...
Пусть в переборе учавствуют только строчные буквы латинского алфавита. всего знаков в слове восемь.
Итого разных слов: 8^26 = 3Е23 Символов в хэше 32, отсюда при перемножении второго числа на первое, получаем сколько минимум байт понадобиться для хранения этих данных
32 * 3Е23 = 9.6Е23 = 9Е15 терабайт
Делаем выводы... Грубой силой можно подбирать пароли не длинее 5-6 символов, состоящие только из цифр... И займет это около дня
|
это мы придумали оружие массового поражения и ездим на нем!
|
|
|
imperfect
|
|
Ответ #4 : 04 Январь 2008, 00:05
|
|
2 Intoxikata: Одно из трех: либо сильно подзабыл теорию вероятност ей, либо пальцев нехватка, либо слишком тупо подсчитал. Размещения с повторениями из n по m: An^m Т.е. для рассмотренного латиничного случая 26^8 Получаем 2E11. Упс! Чуть меньше, не правда ли? Для семи букв 8E9. Если же хранить хеш не в символьном представлении, а как число, то требуется 16 байт, а не 32. Т.е. дели еще на 2. Итого имеем 16*2E11 = 3200 гигабайт (не путаем приставочки) или банально 3 терабайта. В нулевой степени, не в пятнадцатой. Тоже не сахар, согласен, но могло бы на порядок сократить количество выпитой morg4n валерьянки. И вообще, люди, забывшие теорвер быстро разоряются, т.к. платят в 3 000 000 000 000 000 раз больше остальных! Для семизнака вообще получается в 25 раз меньше, т.е. банальные 130 гигабайт. Как грится, учите матчасть.
|
|
« Последнее редактирование: 04 Январь 2008, 00:09 от imperfect »
|
|
|
|
|
Foxeed
|
|
Ответ #5 : 04 Январь 2008, 11:10
|
|
Ну, с учетом того, что 8ми значные пароли мало кто использует, вся идея пролетает как фанера над Парижем. (я минимум 12 использую :-P) И почему именно md5, самый распространенный? А-а-а, это чтобы тырить хэши из базы паролей и налету их переводить в открытый текст? :-) Зачем тогда расшифрование придумали, если побеждает тот, у кого больше места и круче процессоры? Я бы по pgp шифровал важную информацию, но у меня нечего шифровать. ^^
+1, в общем.
|
|
|
|
eXtractor
|
|
Ответ #6 : 04 Январь 2008, 12:51
|
|
А как с двойными хешами / хешами с солью бороться будем 8) ?
|
|
|
|
imperfect
|
|
Ответ #7 : 04 Январь 2008, 13:07
|
|
2 Foxeed: Для криптоанализа тоже нужны крутые процессоры. А другие во-первых, держат маленькие пароли (цифробуквенные, т.к. трудно бывает запомнить + буквенные взламываются по вордлисту, а цифровые вообще фигня), у меня например 6 символов на почту Насчет pgp... Мало обывателей, знают, что это за ругательство. Они даже не знают, что такое md5... Кстати, почему не gpg? 2 eXtractor: Ну, мы же не матерые криптоаналитики, а всего лишь чуваки с большим кол-вом свободного времени и большими жесткими дисками.
|
|
|
|
Foxeed
|
|
Ответ #8 : 04 Январь 2008, 15:21
|
|
Потому что pretty good privacy. И я не писал, что для криптоанализа чего-то не нужно. ^^
eX, никак с ними бороться не будем, это не наша идея, мы отговариваем от нее.
|
|
|
|
imperfect
|
|
Ответ #9 : 04 Январь 2008, 16:10
|
|
это не наша идея, мы отговариваем от нее.
Мы - это кто? О__о Потому что pretty good privacy.
Спасибо, я в курсе Ну так GPG - это GNU Privacy Guard, вот я и спросил, почему не он выбран поклонниками open source i | Я где-то упомянал, что поклонник open source? Многие путают freeware и open source, кстати. Я за качественный софт, чтобы "установил и не парься". ^^ Foxeed |
|
|
« Последнее редактирование: 06 Январь 2008, 11:32 от Foxeed »
|
|
|
|
|
Intoxikata
Завсегдатай
Репутация: 22
Сообщений: 259
|
|
Ответ #10 : 04 Январь 2008, 17:05
|
|
простейший класс для перебора применение: require_once("cstorm.inc.php");
$storm = new CStorm('a', 'bbb', 'ab'); while ($storm->next()) { echo $storm->getit()."\n"; }; F:\bin\Php\cli>php 1.php b aa ab ba bb aaa aab aba abb baa bab bba bbb F:\bin\Php\cli>php 1.php > test
|
это мы придумали оружие массового поражения и ездим на нем!
|
|
|
imperfect
|
|
Ответ #11 : 05 Январь 2008, 21:04
|
|
Я тут подумал... В-общем, дело труба. Помимо 16-байтных хешей, мы обязаны хранить 7-байтные (8-байтные) пароли (иначе в чем сокровенный смысл?), что увеличивает нашу базу в полтора раза... Нет счастья в жизни.
|
|
|
|
Intoxikata
Завсегдатай
Репутация: 22
Сообщений: 259
|
|
Ответ #12 : 05 Январь 2008, 22:39
|
|
плюс еще соль (salt) для каждого пароля (где то до восьми байт)
|
это мы придумали оружие массового поражения и ездим на нем!
|
|
|
imperfect
|
|
Ответ #13 : 06 Январь 2008, 21:51
|
|
Intoxikata +1 Если еще хранить двойной хеш, по просьбе eXtractor, то получается 48 байт на восьмизнак. Совсем не кашерно. На семизнак 47, но это не меняет дела. По приблизительным расчетам на семизнаки потребуется 400 гигабайт. И это только латинские буквы. Если внесем под седьмую степень еще десять цифр, получим 8E10 паролей. Итог: 3,8 терабайт. Шестизнак - около ста гигабайт. И это все только для мд5. В sha256 хеш в 2 раза длиннее (32 байта) - делаем выводы...
Короче, morg4n, мы тут посовещались и решили: делай базу по словарю.
|
|
|
|
eXtractor
|
|
Ответ #14 : 06 Январь 2008, 21:54
|
|
В принципе, довольно охватуемо.
|
|
|
|
imperfect
|
|
Ответ #15 : 06 Январь 2008, 22:05
|
|
Ты про шестизнак или про словарь? P.S. morg4n, хотелось бы узнать, в какой стадии проект.
|
|
|
|
morg4n
Завсегдатай
Репутация: 4
Сообщений: 330
http://spimun.com
|
|
Ответ #16 : 07 Январь 2008, 22:06
|
|
он пока в стадии идейной, если кто нить то поддержит=) есть рабочая версия 6ти значков..
|
|
|
|
|
morg4n
Завсегдатай
Репутация: 4
Сообщений: 330
http://spimun.com
|
|
Ответ #18 : 08 Январь 2008, 03:46
|
|
|
|
|
|
Intoxikata
Завсегдатай
Репутация: 22
Сообщений: 259
|
|
Ответ #19 : 08 Январь 2008, 12:24
|
|
Объясняю как происходит аутентификация юзера почти везде сейчас. Когда юзер регистрируется, для него генерируется случайная строка - соль (salt), которая хранится в той же таблице БД, что и ник, хэш пароля и проч. Хэш формируется на основе введенного пароля и соли (salt) (в простейшем случае - суммы). Те времена, когда шифровался голый пароль ушли в прошлое. Во первых соль - случайная величина, а во вторых алгоритм неизвестен, по которому модифицируется пароль. А этот алгоритм от форума к форуму, и даже между версиями форумов разный. Поэтому и смысла в этом проекте нет
|
это мы придумали оружие массового поражения и ездим на нем!
|
|
|
imperfect
|
|
Ответ #20 : 11 Январь 2008, 22:19
|
|
Спасибо за ликбез. А я не понял, в чем проблема хранить затравку рядом с хешем, где ей собственно и место? Вспомнить, бы, как я считал несколькими постами выше. Я там включал то приращение пространства хешей, которое дает затравка, или нет, никто не знает?
|
|
« Последнее редактирование: 11 Январь 2008, 22:22 от imperfect »
|
|
|
|
|
gosti
Завсегдатай
Репутация: 14
Сообщений: 272
^
|
|
Ответ #21 : 12 Январь 2008, 12:34
|
|
у мня есть софтик готовый такого плана
|
Loading....
|
|
|
imperfect
|
|
Ответ #22 : 12 Январь 2008, 13:34
|
|
В исходниках, я надеюсь... 8)
|
|
|
|
gosti
Завсегдатай
Репутация: 14
Сообщений: 272
^
|
|
Ответ #23 : 12 Январь 2008, 13:35
|
|
да, есть только на си++ )) и под unix но поняв что и как можно переделать под пхп например размеры базы нужны большие чтобы реально был виден результат работы
|
Loading....
|
|
|
imperfect
|
|
Ответ #24 : 12 Январь 2008, 13:42
|
|
Ну все равно. С++ это тоже тема. Выложишь под катом? Или там много?
|
|
|
|
|