|
Проблема с Хэшем
Хэш - 3%3A5b84c40bcce0737e45dc36cfc8a0c7cab469
Пароль: 1234 Пришём Хэш меняется.... Вот эт тож 1234 3%3Aa20c3c4a007b88f08e4ad39d1f1aad0262de У когонить есть идеи? |
Цитата:
следовательно, это или алгоритм бло4ного шифрования пароля с рандомной гаммой поверх него, или какой-то замутный аглоритм запоминания связки сессии-паса. Думаю, если скажешь исто4ник откуда взял закрытый текст(портал, движок) - можно будет расбираться поподробнее... |
где-то помню была статья, что одинаковые пассы могут иметь разные хеши, и наоборот ,что один и тот же хеш, может обозначать два разных пароля
|
damochka.ru
IPB форум, но он какой-то самоисправленный... |
сессия отпадает... одна и таже 249fe149c1a4b5d30ffc684e4189dd4d - вт эт ктати md5
оффтоп: не покупайте клаву genius... буковка "о" хреново уже нажимается (прошёл месяц) |
Цитата:
идея номер раз: никакие это не хеши, а слу4айно сгенеренные по определенному правилу шифротексты идея номер два: хэши одинаковы, разные лишь форматы вывода строки: hex, mime base 64, yy code, xx code |
это хэш!!! чую хэш!!! это он))) токо как???)))
|
ссессия и хеш это разные веши, может каким то макаром ссесия у тебя случайно расшифровалась?
|
Сейчас модно делать такие фишки:
$hash=md5("kGKKhcm/56~spsshRRnsud13oifuis".md5("password"); то есть хэш берется 2 раза, притом к первому хэшу присоединяется случайная строка, прописанная в конфигах форума. На разных форумах шэши разные, а чтобы их сбрутить, нужно иметь доступ к файлу конфигов и писать переборщик заново, тк я не видел брутфорсеров, поддерживающих такой вариант хэширования. Благо на PHP написать такое - 15 минут ;) |
И необязательно смотреть файл конфигов... Достаточно Посмотреть свой хеш......... А дальше уже понятно. Но если использовать шифрование пароля более запущено типа
Добавляем Берем md5 Пароля убираем 3 первые и 4 последние знаки, потом перед ними и полсе них добавляем случайную строку, А потом это все дело еще раз в md5 ))))))))))))))))))))))))))))))))))))))))) |
Цитата:
И нас4ет надежности: никакой переборЩик при таком раскладе даже пытаться писать не стоит - время брута мд5 хэша, хэшированного дважды (даже без наложенной гаммы) будет близко к времени, когда к нам 4ерная дыра дыра с космоса прилетит ;) |
Развивая тему могу добавить, что md5(md5("ALKSJD^^asdasd" . md5($pass)) - это ещё не предел... Ну например админ может проболтаться, чт там у них за строка.
Вот если md5(md5($случайнаястрокаиз9сим влов) . md5($pass)) - тут уже мона спокойно склеивать ласты. т.е. в mysql для каждого юзера прописывается ещё и случайно сгенерировая строчка из 9 символов. ЗЫ: 9 символов - это ещё не предел. |
Kond4r, если каждый раз будет новая случайная строка, то как потом можно будет эти хеши сравнивать при авторизации - они ведь все время разные будут при одинаковом пароле? :) или я чего-то не понял...
|
В базе хранится нетолько хэш твоего пароля, но если можно так назвать ключ к нему.
например: 249fe149c1a4b5d30ffc684e4189dd4d - хэш пароля Ёё~%3 - ключ к нему Ключ генерируется рандомно при смене или установки пароля для каждого юзера он свой - спесифисеский))) При авторизации скрипт выдёргивает из базы по нику твой ключ, подставляет его в выражение вида: md5(md5($key) . md5($password)) и сравнивает его с тем который у тебя.... Можно развить тему и прописать чтобы $key менялся при каждом вводе пароля.. Т.е. Если ты залогинился на форуме в кукисах пописывается хэш твоего пароля по жёсткой схеме изложеной выше, при выходе и повторном прилогинивание хэш проля в кукисах будет уже совсем другой... т.е. пока ты не нажал на кнопочку logout твой хэш не изменится. |
Кстати такая хрень уже во всю юзается на форумах IPB 2.1.0 - там по дефолту стоит $key из 5 символов.
Блин на этом сайте damochka.ru так оно и есть! Осталось токо понять что это за постоянные 3%3..... которые не меняются и гдк там хэш после них... или он в середине... и хэш ли это? ааааааааа полный msdos! |
| Время: 13:26 |