Google для взлому паролів
22:43 09.07.2008Як написав Steven Murdoch в своєму пості Google as a password cracker, Гугл можна використовувати для взлому паролів. В даному випадку він використав Google для взлому MD5 хеша.
Для отримання рядка (в даному випадку пяролю) з MD5 хеша, його можна взломати брутфорсом. Але повний перебір займає багато часу, а атака по словнику чи комбінована атака може бути неефективною, якщо пароль достатньо надійний. Тому Steven спробував використати Гугл і швидко взломав MD5 хеш й отримав пароль .
Метод взлому полягає у тому, що треба задати в Гуглі пошук необхідного MD5 хеша. І якщо десь в Інтернеті хтось вже використав дане слово (у вигляді хеша) в себе на сайті, наприклад, в якості URL, то це можна буде знайти. І тим самим визначити пароль, що був зашифрований в хеші.
Бази Даних MD5 хешів з можливістю пошуку по БД відомі вже давно. А це інший варіант цього ж підходу. Тільки в даному випадку базою виступає Інтернет, а пошук відбувається в Гуглі та інших пошуковцях.
П'ятниця, 18:22 11.07.2008
Як я розумію, достатньо надійним в цьому випадку було би додавання sault перед процедурою кодування паролю?
П'ятниця, 18:24 11.07.2008
По-моєму, все ж цьому Стівену пощастило з паролем. “Нормальні” слова у будь-якому випадку погані паролі, тут ще й таке співпадіння.
Середа, 23:59 16.07.2008
Так і є - додавання salt робить хешування більш надійним. Тому що для отримання хешу (при авторизації) буде використовуватися як пароль, так і salt, що зробить результуючий хеш менш “стандартним” (і тому його важче буде брутфорснути). За допомогою Гугла і різних md5 пошуковців вже такий “засолений” хеш не знайдеш
.
Тому, при брутфорсі хеша потрібен буде також і salt. Який теж береться з БД разом з хешем (через дірки)
. Тому в плані брутфорса там особливих проблем немає (використай отриманий salt і підбери вірний пароль під цей хеш) - часові вимоги ті ж самі, що й при звичайному хешуванні (використання salt майже не зменшує швидкодії). Головне не забути про salt - тобто при отриманні хешу (через дірки на сайті), потрібно вияснити, чи немає там ще salt (як у відомому тобі движку, так і у невідомому), бо інакше не вийде взломати хеш. Тому, як кажуть сіль за смаком
.
Четвер, 00:17 17.07.2008
Стівену реально повезло - попалися в Інтернеті сайти, де використовувався цей хеш. Таке трапляється рідко, але звісно з часом різних хешів на сайтах в Мережі (зокрема у якості адрес сторінок) буде більше. Та й пароль був слабкий, що збільшило шанс знайти його в пошуковці.
Це лише такий цікавий приклад використання Гугла (поки що не дуже практичний). Для пошуку md5 хешів варто використовувати спеціальні пошуковці.
Четвер, 09:49 17.07.2008
> Тому, при брутфорсі хеша потрібен буде також і salt. Який теж береться з БД разом з хешем (через дірки)
.
Гм. Я зазвичай зберігаю їх в конфігах сайту.
П'ятниця, 23:58 28.11.2008
Теж варіант. Але це зручно лише для однокористувацьких систем. Сам в конфігах зберігаю аутентифікаційні дані, якщо система лише з одним акаунтом (адмінським).
А коли система багатокористувацька, то зручно використовувати БД. Де і зберігаються логіни і паролі (або їх хеші, разом з salt, якщо вона використовується). В такому випадку всі дані беруться з БД через SQL Injection. А у випадку паролю або хешу (разом з salt) в конфігах, то використовуються інші дірки
, зокрема Directory Traversal.