Google для взлому паролів

22:43 09.07.2008

Як написав Steven Murdoch в своєму пості Google as a password cracker, Гугл можна використовувати для взлому паролів. В даному випадку він використав Google для взлому MD5 хеша.

Для отримання рядка (в даному випадку пяролю) з MD5 хеша, його можна взломати брутфорсом. Але повний перебір займає багато часу, а атака по словнику чи комбінована атака може бути неефективною, якщо пароль достатньо надійний. Тому Steven спробував використати Гугл і швидко взломав MD5 хеш й отримав пароль :-) .

Метод взлому полягає у тому, що треба задати в Гуглі пошук необхідного MD5 хеша. І якщо десь в Інтернеті хтось вже використав дане слово (у вигляді хеша) в себе на сайті, наприклад, в якості URL, то це можна буде знайти. І тим самим визначити пароль, що був зашифрований в хеші.

Бази Даних MD5 хешів з можливістю пошуку по БД відомі вже давно. А це інший варіант цього ж підходу. Тільки в даному випадку базою виступає Інтернет, а пошук відбувається в Гуглі та інших пошуковцях.


6 відповідей на “Google для взлому паролів”

  1. trovich каже:

    Як я розумію, достатньо надійним в цьому випадку було би додавання sault перед процедурою кодування паролю?

  2. trovich каже:

    По-моєму, все ж цьому Стівену пощастило з паролем. “Нормальні” слова у будь-якому випадку погані паролі, тут ще й таке співпадіння.

  3. MustLive каже:

    Так і є - додавання salt робить хешування більш надійним. Тому що для отримання хешу (при авторизації) буде використовуватися як пароль, так і salt, що зробить результуючий хеш менш “стандартним” (і тому його важче буде брутфорснути). За допомогою Гугла і різних md5 пошуковців вже такий “засолений” хеш не знайдеш :-) .

    Тому, при брутфорсі хеша потрібен буде також і salt. Який теж береться з БД разом з хешем (через дірки) ;-) . Тому в плані брутфорса там особливих проблем немає (використай отриманий salt і підбери вірний пароль під цей хеш) - часові вимоги ті ж самі, що й при звичайному хешуванні (використання salt майже не зменшує швидкодії). Головне не забути про salt - тобто при отриманні хешу (через дірки на сайті), потрібно вияснити, чи немає там ще salt (як у відомому тобі движку, так і у невідомому), бо інакше не вийде взломати хеш. Тому, як кажуть сіль за смаком 8-) .

  4. MustLive каже:

    Стівену реально повезло - попалися в Інтернеті сайти, де використовувався цей хеш. Таке трапляється рідко, але звісно з часом різних хешів на сайтах в Мережі (зокрема у якості адрес сторінок) буде більше. Та й пароль був слабкий, що збільшило шанс знайти його в пошуковці.

    Це лише такий цікавий приклад використання Гугла (поки що не дуже практичний). Для пошуку md5 хешів варто використовувати спеціальні пошуковці.

  5. trovich каже:

    > Тому, при брутфорсі хеша потрібен буде також і salt. Який теж береться з БД разом з хешем (через дірки) ;-) .
    Гм. Я зазвичай зберігаю їх в конфігах сайту.

  6. MustLive каже:

    Гм. Я зазвичай зберігаю їх в конфігах сайту.

    Теж варіант. Але це зручно лише для однокористувацьких систем. Сам в конфігах зберігаю аутентифікаційні дані, якщо система лише з одним акаунтом (адмінським).

    А коли система багатокористувацька, то зручно використовувати БД. Де і зберігаються логіни і паролі (або їх хеші, разом з salt, якщо вона використовується). В такому випадку всі дані беруться з БД через SQL Injection. А у випадку паролю або хешу (разом з salt) в конфігах, то використовуються інші дірки :-) , зокрема Directory Traversal.

Leave a Reply

You must be logged in to post a comment.