Šifrování hesel

03. led 2013 21:52 #101543

Odpověď od Karri

Uživatel

Jak tak sleduju vaše problémy, vás někdo nemá hodně rád a vy zřejmě víte, kdo to je - kurňa, tak si na něj večer počkejte a dejte mu po čuni lešenovkou, no ne?

03. led 2013 22:44 #101547

Odpověď od Cony

Moderátor

Z hlediska bezpečnosti je primárnízabezpečit aby se k databázi hacker nedostal. Dekódovat MD5 opravdu nelze, existují sice "dekodéry", ty ale pracují pouze s databází řetězců a jejich md5 podob. Joomla navíce hesla ukládá s náhodným řetězcem, tím je bezpečnost ještě více zvýšena. Nevím jak hacker odhalil heslo jak píšete, ale upřímně o tom pochybuji. Spíše odhalil heslo, které má stejný md5 hash jako použité heslo a to mu umožnilo přihlásit se.

Vzhledem ale k použité salt, je to heslo nepoužitelné na jiné stránky, tedy i když mají Vaši uživatelé stejé heslo např. k mailu decryptované heslo hackerovi nepomůže (na mailu samozřejmě navíc může být jiné šifrování).

Pokud by jste opravdu chtěl jiné šifrování, jak jsem psal, musel by jste si napsat svůj authentication plugin (nebo upravit jádro s tím že s aktualizací o změny můžete přijít).

V podstatě by to nemuselo být nic složitého, Joomla již podporu SHA-1 má. V podstatě by stačilo zkopírovat plugin authentication / Joomla a na řádku s voláním funkce getCryptedPassword doplnit třetí parametr 'ssha'.
Pak by jste ale ještě musel vytvořit user plugin, který by heslo se správným šifrováním ukládal.

Pozor ale na to, že pokud by jste vypl standartní MD5, nikdo ze stávajících uživatelů se nepřihlásí (ani Vy do administrace).

03. led 2013 23:06 #101550

Odpověď od ghost

Zkušený uživatel

proc mam pocit, ze se dva pohadali a ten ublizeny se stale snazi dokazat, jaky je king
bud jste dle me tak "hloupy" a mate trivialni heslo, nebo jej zna, nebo jste si vsechny hesla pote, co jste se ve zlem rozesli, nezmenil, pripadne ma zadni vratka

jak to jiz bylo receno, tak to, co tvrdi vas hacker, je blbost, ale stale si stojite za svym

Joomla! pro každého

04. led 2013 01:13 #101552

Odpověď od Petr Steel

Pokročilý uživatel

No tak dík za pomoc do toho vám absolutně nikomu ani jednomu nic není nemám zapotřebí poslouchat takový sračky, zkrátka dešifroval moje heslo a to mi stačí víc mě nezajímá. Díky berte to za vyřešené. Už nemám zájem o vaši pomoc.

04. led 2013 02:11 #101554

Odpověď od Cony

Moderátor

Trochu se mírněte. Pomáhaj Vám tu všichni. Heslo Vám z MD5 nedešifroval, to prostě nelze. Pokud chcete SHA-1 popsal jsem Vám jak. Ale bezpečnost tím nezvýšíte.

04. led 2013 07:13 #101556

Odpověď od ghost

Zkušený uživatel

steel - jste jak zaseknuty
kdyz vam tu vsichni reknou, ze md5 hash se saltem desifrovat proste nejde, tak to proste nejde
neverite-li nam, najdete si to na netu jinde, kde vam to potvrdi kazdy, kdo vi, co to md5 je

mate pravdu, nic nam do toho neni, ale vy jste zacal s problemem a my se vam snazime pomoci, byt urputne furt branite sveho hackera, ktery jako prvni na svete desifroval md5

je zvlastni, ze hacker vam radi, co mate delat
vetsina lidi se hackerum brani, resp. se snazi, aby jim na web nevlezly, ale vy jej poslouchate - zvlastni

je dost take mozne, ze si pletete pojmy, kdo je hacker, co presne znamena desifrovat, ...

prosim, predejte svemu hackerovi tento retezec:
b02adc7f7553d40af938325f244d79c0:lnsyfGjmlGzTnlYiluHKdziaiDTTMlAk
jde o standardni heslo z joomly se saltem
pro zjednoduseni jeho prace tam jsou dve normalni slova a tecka mezi nimi
rad si pockam na predvedeni jeho umeni a odhaleni puvodniho hesla (bohuzel v rainbow table to nenajde)

Joomla! pro každého

04. led 2013 10:34 #101557

Odpověď od Petr Steel

Pokročilý uživatel

Nikdo tu nemluví o brute force attacku.

KLIKNOUT ZDE

04. led 2013 10:37 #101558

Odpověď od Petr Steel

Pokročilý uživatel

steel napsal: Nikdo tu nemluví o brute force attacku.

KLIKNOUT ZDE

Stačí mu jen salt. Pře GPU vrčí cirka 4000 hesel za sekundu. Silnější heslo o 10 znacíc je cracklé do 24 hodin

04. led 2013 11:34 #101560

Odpověď od Cony

Moderátor

A jak Vám proti Brute force pomůže SHA1?

Stačí mu jen salt.

Jako že hackerovi na prolomení hesla stačí jen salt? Tak to už Vás houpe opravdu dokonale :-)

A do 10-ti hodin silnější heslo cracklé není, zkuste si to spočítat, řekněme 27 písmen abecedy + 10 číslic + cca 7 běžnějších speciálních znaků, to máte 45 znaků, při délce 10 znaků je to 45 na desátou kombinaci.
Říkáte-li 4000 hesel za sekundu, projití 45 na desátou kombinaci trvá cca 270 tisíc let.
Samozřejmě pokud se jede dle slovníku a Vaše "silné" heslo je ve slovníku (třeba i s příponou nebo předponou) může to opravdu trvat těch 24 hodin.

Poděkovali: Petr Steel

04. led 2013 11:42 #101561

Odpověď od Petr Steel

Pokročilý uživatel

Dobrá tedy, díky všem za pomoc a omlouvám se za moje chování, že jsem po vás tak vyjel

04. led 2013 16:42 #101573

Odpověď od ghost

Zkušený uživatel

prosim, at mi louskne to, co jsem zverejnil drive
poradim mu dale: je to vice jak 10 znaku a mene jak 20 znaku dlouhe

Joomla! pro každého

04. led 2013 17:34 #101577

Odpověď od Petr Steel

Pokročilý uživatel

On ví, že mi to heslo rozhashoval já to vím taky, a taky víme že SHA má trošku jiný algoritmus než MD5. Kdo neví jak se encryptuje heslo, nezná dobrou geforce. Přes GPU frčí až 1.4M hesel za vteřinu

Četl jsem to u nic ve fóru a admin se tomu vůbec nedivil.

Prý nemá čas a má to na saláme, jestli aspon' trošku víš, tak ti mám poslat stránku na hashcat, kterou už jsem ti poslal a máš si to zkusit sám

04. led 2013 18:01 #101582

Odpověď od Cony

Moderátor

I kdyby to bylo 1.4M za sekundu, pořád u 10-ti znakého hesla výchazí projití všech kombinací na 770 let. Tak dlouho bych nečekal :-)

Navíc výstupem není heslo (a ani být nemůže), výstupem je množina možných hesel. S těmi se sice přihlásíte do té konkrétní Joomly, ale není to heslo toho uživatele.

04. led 2013 18:16 #101583

Odpověď od ghost

Zkušený uživatel

no, a my se ptame, jak z hashe, ktery neni 100% jednoznacny, ziskal prave to jedine a vase heslo (a jeste k tomu silne heslo => silne pro me a nejen me znamena, ze splnuje alespon 3 podminky ze 4 - male, velke, cisla, jine znaky)

tady nikdo netvrdi, ze brutnout ci pres duhove tabulky ;-)

nejde md5 lousknout
ani nikdo netvrdi, ze nejde delat 4000 ci klidne milion hesel za sekundu (mate v tech radech hokej, kdyz se vam pocet za 7 hodin znasobil 350)

teoreticke i prakticke clanky, jak to delaji nekde, kde si to pusti na nejakem supervykonem stroji, me nezajimaji, protoze to je mimo realitu bezneho hackera

jinak, pri 1,4 mil heslech/s bude blbe 10 znakove heslo lamat jak dlouho, aby mel 100 % jistotu vysledku?
771 let - porad moc dlouho na to, aby se dockal vysledku

takze pokud si vas hacker nepostavi malou farmu, tak bude s lamanim hesel dost v haji, protoze trivialni heslo odhali slovnikem a slozitejsi nezlomi

nevim, kolik Vam je a kolik je Vasemu haskerovi a co o kryptografii a matematice vite vy i on, ale je videt, ze to zadna slava nebude, kdyz mu verite (ci se nekde v clanku doctete), ze heslo zlomi za 24 hodin pri 4000 heslech z sekundu a jeste k tomu jen ze saltu

ja mu na sve heslo viz vyse davam klidne tyden - to je dobra nabidka ne? nebo potrebuje mesic? nebo jej mam i nejak financne motivovat? co takovych 1000 Kc za to, ze jen necha bezet svuj stroj/script/app par hodin/dni pres noc, aby se dopocital - preci jen, sedet u toho lamani nemusi

dokonce mu to jeste ulehcim - neni tam zadna cislice => zbyvaji mu teoreticky jen mala a velka pismena a jine znaky (a pouzite je mezi zcela beznymi, zadny paragraf ci copyright ci podobne)

Joomla! pro každého