переборка данных

[morg4n]

Помогите сообразить как сделать переборку букв..
ну из серии
for ($i=0; $i<101; $i++)
echo $i;

выведет ряд от 0 до 100...
а теперь внимание вопрос.
нада тоже самое только чтобы
к фирам для перебора добавлялись буквы знаки..

вопрос ясен?=) нужна помощь

собсно рисую базу... хз зачем)
http://10.23.30.153/md5.php
пока на компиле 6ти значные
циферные

[imperfect]

к фирам для перебора добавлялись буквы знаки..

Что-что простите?
Может быть, я не в теме и тупой, но как это относится к md5?
И вообще, криптостойкость md5 вызывает сомнения. Бери лучше sha

[morg4n]

к цифрам*
по сабжу..
это я решил вот делать мне нечего..
сделать Mysql базу мд5 хешей 8 значных паролей..
это из серии дешифромшик мд5.. (чистой мд5..)

[Intoxikata]

тупо посчитаем... Торию вероятности позабыл уже, поэтому на пальцах...

Пусть в переборе учавствуют только строчные буквы латинского алфавита.
всего знаков в слове восемь.

Итого разных слов: 8^26 = 3Е23
Символов в хэше 32, отсюда при перемножении второго числа на первое,
получаем сколько минимум байт понадобиться для хранения этих данных

32 * 3Е23 = 9.6Е23 = 9Е15 терабайт

Делаем выводы... Грубой силой можно подбирать
пароли не длинее 5-6 символов, состоящие только из цифр... И займет это около дня

[imperfect]

2Intoxikata:
Одно из трех: либо сильно подзабыл теорию вероятностей, либо пальцев нехватка, либо слишком тупо подсчитал.
Размещения с повторениями из n по m: An^m
Т.е. для рассмотренного латиничного случая 26^8
Получаем 2E11. Упс!
Чуть меньше, не правда ли?
Для семи букв 8E9.
Если же хранить хеш не в символьном представлении, а как число, то требуется 16 байт, а не 32. Т.е. дели еще на 2.
Итого имеем
16*2E11 = 3200 гигабайт (не путаем приставочки) или банально 3 терабайта. В нулевой степени, не в пятнадцатой.
Тоже не сахар, согласен, но могло бы на порядок сократить количество выпитой morg4n валерьянки. 
И вообще, люди, забывшие теорвер быстро разоряются, т.к. платят в 3 000 000 000 000 000 раз больше остальных! 
Для семизнака вообще получается в 25 раз меньше, т.е. банальные 130 гигабайт.
Как грится, учите матчасть.

[Foxeed]

Ну, с учетом того, что 8ми значные пароли мало кто использует, вся идея пролетает как фанера над Парижем. (я минимум 12 использую :-P)
И почему именно md5, самый распространенный? А-а-а, это чтобы тырить хэши из базы паролей и налету их переводить в открытый текст? :-) Зачем тогда расшифрование придумали, если побеждает тот, у кого больше места и круче процессоры? Я бы по pgp шифровал важную информацию, но у меня нечего шифровать. ^^

+1, в общем.

[eXtractor]

А как с двойными хешами / хешами с солью бороться будем 8) ?

[imperfect]

2Foxeed:
Для криптоанализа тоже нужны крутые процессоры. А другие во-первых, держат маленькие пароли (цифробуквенные, т.к. трудно бывает запомнить + буквенные взламываются по вордлисту, а цифровые вообще фигня), у меня например 6 символов на почту 
Насчет pgp... Мало обывателей, знают, что это за ругательство. Они даже не знают, что такое md5...
Кстати, почему не gpg? 

2eXtractor:
  Ну, мы же не матерые криптоаналитики, а всего лишь чуваки с большим кол-вом свободного времени и большими жесткими дисками.

[Foxeed]

Потому что pretty good privacy. И я не писал, что для криптоанализа чего-то не нужно. ^^

eX, никак с ними бороться не будем, это не наша идея, мы отговариваем от нее.

[imperfect]

это не наша идея, мы отговариваем от нее.

Мы - это кто? О__о

Потому что pretty good privacy.

Спасибо, я в курсе
Ну так GPG - это GNU Privacy Guard, вот я и спросил, почему не он выбран поклонниками open source

i	Я где-то упомянал, что поклонник open source? Многие путают freeware и open source, кстати. Я за качественный софт, чтобы "установил и не парься". ^^ Foxeed

 

[Intoxikata]

простейший класс для перебора
применение:

Код:

require_once("cstorm.inc.php");

$storm = new CStorm('a', 'bbb', 'ab');
while ($storm->next())
{
	echo $storm->getit()."\n";
};

Код:

F:\bin\Php\cli>php 1.php
   b
  aa
  ab
  ba
  bb
 aaa
 aab
 aba
 abb
 baa
 bab
 bba
 bbb

Код:

F:\bin\Php\cli>php 1.php > test

[imperfect]

Я тут подумал... В-общем, дело труба. Помимо 16-байтных хешей, мы обязаны хранить 7-байтные (8-байтные) пароли (иначе в чем сокровенный смысл?), что увеличивает нашу базу в полтора раза... 
Нет счастья в жизни.

[Intoxikata]

плюс еще соль (salt) для каждого пароля (где то до восьми байт)

[imperfect]

Intoxikata +1
Если еще хранить двойной хеш, по просьбе eXtractor, то получается 48 байт на восьмизнак. Совсем не кашерно.
На семизнак 47, но это не меняет дела.
По приблизительным расчетам на семизнаки потребуется 400 гигабайт.
И это только латинские буквы. Если внесем под седьмую степень еще десять цифр, получим 8E10 паролей.
Итог: 3,8 терабайт.
Шестизнак - около ста гигабайт.
И это все только для мд5. В sha256 хеш в 2 раза длиннее (32 байта) - делаем выводы...

Короче, morg4n, мы тут посовещались и решили: делай базу по словарю.

[eXtractor]

В принципе, довольно охватуемо.

[imperfect]

Ты про шестизнак или про словарь? 

P.S. morg4n, хотелось бы узнать, в какой стадии проект.

[morg4n]

он пока в стадии идейной, если кто нить то поддержит=)
есть рабочая версия 6ти значков..

[eXtractor]

Где?

http://10.23.30.153/md5.php — «Не найдено».

[morg4n]

http://10.23.30.153/_trash/md5/

[Intoxikata]

Объясняю как происходит аутентификация юзера почти везде сейчас. Когда юзер регистрируется, для него генерируется случайная строка - соль (salt), которая хранится в той же таблице БД, что и ник, хэш пароля и проч. Хэш формируется на основе введенного пароля и соли (salt) (в простейшем случае - суммы). Те времена, когда шифровался голый пароль ушли в прошлое. Во первых соль - случайная величина, а во вторых алгоритм неизвестен, по которому модифицируется пароль. А этот алгоритм от форума к форуму, и даже между версиями форумов разный. Поэтому и смысла в этом проекте нет

[imperfect]

Спасибо за ликбез. 

А я не понял, в чем проблема хранить затравку рядом с хешем, где ей собственно и место?

 
Вспомнить, бы, как я считал несколькими постами выше. Я там включал то приращение пространства хешей, которое дает затравка, или нет, никто не знает? 

[gosti]

у мня есть софтик готовый такого плана

[imperfect]

В исходниках, я надеюсь...  8)

[gosti]

да, есть
только на си++ )) и под unix
но поняв что и как можно переделать под пхп например
размеры базы нужны большие чтобы реально был виден результат работы

[imperfect]

Ну все равно. С++ это тоже тема. Выложишь под катом? Или там много?