Přihlásit se

Šifrování hesel

03. led 2013 17:01 #101528
Šifrování hesel od Petr Steel
Pokročilý uživatel
Dobrý den, uživatelé a moderátoři. Jednou se hackerovi se hravě podařilo dekódovat i silné heslo, poradil mi, abych změnil šifrování na SHA, jsem ale amatér a nevím jak, nemáte nějaký srozumitelný návod nejlépe neřekly by jste mi jak na to ?

03. led 2013 17:11 #101530
Odpověď od Bong
Moderátor
Neřikejte.
I'm sorry, my responses are limited...you must ask the right questions.

03. led 2013 17:17 - 03. led 2013 17:20 #101531
Odpověď od Cony
Moderátor
Obávám se že na to by jste si musel vytvořit vlastní plugin pro autentifikaci. Na druhou stranu ale proč? Někdo získal přístup k databázi, tedy k seznamu hesel? Pak máte asi úplně jiný problém než že by mohl rozšifrovat heslo. Nebo řešíte jen jakýsi teoretický problém? Pak mi řekněte kde ten hacker získá to zašifrované heslo?

Navíc jsou hesla šifrována pomocí jednosměrné funkce, MD5 s přidaným generovaným náhodným řetězcem. To že je jednosměrná, znamená, že nelze zpětně bez doplňujících údajů rozšifrovat, hacker tedy může získat jakési heslo, to ale bude fungovat jen na té konkrétní Joomle. Je to něco jako sinus(x), máte li hodnotu y, nelze dopočítat x, resp. těch x máte nekonečně mnoho.

03. led 2013 17:17 #101532
Odpověď od prontik
Zkušený uživatel
Jste banka? Nebo spravujete nejaky web ministerstva obrany?
MD5 sice neni nic extra, ale pri dostatecne silnem hesle (velka, mala pismena prolozena cisly) je zabezpeceni myslim dostatecne.
Joomla je jako puzzle. Stačí vědět jak ty dílky k sobě poskládat.

03. led 2013 19:00 #101537
Odpověď od ghost
Zkušený uživatel
jedna pani povidala ...
pojdme se bud bavit konkretne nad konkretnim pripadem a konkretnim problemem, nebo radeji vubec
Joomla! pro každého

03. led 2013 21:38 #101541
Odpověď od Petr Steel
Pokročilý uživatel
Jak se hacker dostal k heslům a dešifroval heslo je vedlejší to už jsem zabezpečil. Jenom jsem se slušně ptal jak změním šifrování z MD5 na SHA, jde mi o bezpečnost.

03. led 2013 21:52 #101543
Odpověď od Karri
Uživatel
Jak tak sleduju vaše problémy, vás někdo nemá hodně rád a vy zřejmě víte, kdo to je - kurňa, tak si na něj večer počkejte a dejte mu po čuni lešenovkou, no ne? ;)

03. led 2013 22:44 #101547
Odpověď od Cony
Moderátor
Z hlediska bezpečnosti je primárnízabezpečit aby se k databázi hacker nedostal. Dekódovat MD5 opravdu nelze, existují sice "dekodéry", ty ale pracují pouze s databází řetězců a jejich md5 podob. Joomla navíce hesla ukládá s náhodným řetězcem, tím je bezpečnost ještě více zvýšena. Nevím jak hacker odhalil heslo jak píšete, ale upřímně o tom pochybuji. Spíše odhalil heslo, které má stejný md5 hash jako použité heslo a to mu umožnilo přihlásit se.

Vzhledem ale k použité salt, je to heslo nepoužitelné na jiné stránky, tedy i když mají Vaši uživatelé stejé heslo např. k mailu decryptované heslo hackerovi nepomůže (na mailu samozřejmě navíc může být jiné šifrování).

Pokud by jste opravdu chtěl jiné šifrování, jak jsem psal, musel by jste si napsat svůj authentication plugin (nebo upravit jádro s tím že s aktualizací o změny můžete přijít).

V podstatě by to nemuselo být nic složitého, Joomla již podporu SHA-1 má. V podstatě by stačilo zkopírovat plugin authentication / Joomla a na řádku s voláním funkce getCryptedPassword doplnit třetí parametr 'ssha'.
Pak by jste ale ještě musel vytvořit user plugin, který by heslo se správným šifrováním ukládal.

Pozor ale na to, že pokud by jste vypl standartní MD5, nikdo ze stávajících uživatelů se nepřihlásí (ani Vy do administrace).

03. led 2013 23:06 #101550
Odpověď od ghost
Zkušený uživatel
proc mam pocit, ze se dva pohadali a ten ublizeny se stale snazi dokazat, jaky je king
bud jste dle me tak "hloupy" a mate trivialni heslo, nebo jej zna, nebo jste si vsechny hesla pote, co jste se ve zlem rozesli, nezmenil, pripadne ma zadni vratka

jak to jiz bylo receno, tak to, co tvrdi vas hacker, je blbost, ale stale si stojite za svym
Joomla! pro každého

04. led 2013 01:13 #101552
Odpověď od Petr Steel
Pokročilý uživatel
No tak dík za pomoc do toho vám absolutně nikomu ani jednomu nic není nemám zapotřebí poslouchat takový sračky, zkrátka dešifroval moje heslo a to mi stačí víc mě nezajímá. Díky berte to za vyřešené. Už nemám zájem o vaši pomoc.

04. led 2013 02:11 #101554
Odpověď od Cony
Moderátor
Trochu se mírněte. Pomáhaj Vám tu všichni. Heslo Vám z MD5 nedešifroval, to prostě nelze. Pokud chcete SHA-1 popsal jsem Vám jak. Ale bezpečnost tím nezvýšíte.

04. led 2013 07:13 #101556
Odpověď od ghost
Zkušený uživatel
steel - jste jak zaseknuty
kdyz vam tu vsichni reknou, ze md5 hash se saltem desifrovat proste nejde, tak to proste nejde
neverite-li nam, najdete si to na netu jinde, kde vam to potvrdi kazdy, kdo vi, co to md5 je

mate pravdu, nic nam do toho neni, ale vy jste zacal s problemem a my se vam snazime pomoci, byt urputne furt branite sveho hackera, ktery jako prvni na svete desifroval md5

je zvlastni, ze hacker vam radi, co mate delat
vetsina lidi se hackerum brani, resp. se snazi, aby jim na web nevlezly, ale vy jej poslouchate - zvlastni

je dost take mozne, ze si pletete pojmy, kdo je hacker, co presne znamena desifrovat, ...

prosim, predejte svemu hackerovi tento retezec:
b02adc7f7553d40af938325f244d79c0:lnsyfGjmlGzTnlYiluHKdziaiDTTMlAk
jde o standardni heslo z joomly se saltem
pro zjednoduseni jeho prace tam jsou dve normalni slova a tecka mezi nimi
rad si pockam na predvedeni jeho umeni a odhaleni puvodniho hesla (bohuzel v rainbow table to nenajde)
Joomla! pro každého

04. led 2013 10:34 #101557
Odpověď od Petr Steel
Pokročilý uživatel
Nikdo tu nemluví o brute force attacku.

KLIKNOUT ZDE

04. led 2013 10:37 #101558
Odpověď od Petr Steel
Pokročilý uživatel

steel napsal: Nikdo tu nemluví o brute force attacku.

KLIKNOUT ZDE


Stačí mu jen salt. Pře GPU vrčí cirka 4000 hesel za sekundu. Silnější heslo o 10 znacíc je cracklé do 24 hodin :D

04. led 2013 11:34 #101560
Odpověď od Cony
Moderátor
A jak Vám proti Brute force pomůže SHA1?

Stačí mu jen salt.

Jako že hackerovi na prolomení hesla stačí jen salt? Tak to už Vás houpe opravdu dokonale :-)

A do 10-ti hodin silnější heslo cracklé není, zkuste si to spočítat, řekněme 27 písmen abecedy + 10 číslic + cca 7 běžnějších speciálních znaků, to máte 45 znaků, při délce 10 znaků je to 45 na desátou kombinaci.
Říkáte-li 4000 hesel za sekundu, projití 45 na desátou kombinaci trvá cca 270 tisíc let.
Samozřejmě pokud se jede dle slovníku a Vaše "silné" heslo je ve slovníku (třeba i s příponou nebo předponou) může to opravdu trvat těch 24 hodin.
Poděkovali: Petr Steel

Powered by Fórum

Novinky z diskuze Nejnovější příspěvky