| |
|
|
| | При регистрации пароль юзера шифруется двойным md5
$pass = md5(md5(($_POST['pass'])));
|
При авторизации дает ошибку
if($res['pass'] != md5(md5($_POST['pass'])))
{
echo "<h1>Вы допустили ошибку</h1>"; exit;
}
|
Вывел результат массива получается так
Array
(
[id] => 16
[name] =>
[login] => scva
[pass] => 2f7b52aacfbf6f44e13d27656ecb1f
[mail] => w@w.com
[date] => 20-08-2010 11:07:53
[user_ip] => 127.0.0.1
)
|
вывожу результат пароля из формы при авторизации
2f7b52aacfbf6f44e13d27656ecb1f59
|
откуда берутся последние 2 цифры 59 | |
| |
|
|
| |
|
|
| |
для: scva
(20.08.2010 в 11:15)
| | | [pass] => 2f7b52aacfbf6f44e13d27656ecb
посчитайте количество символов хеша... нет ничего подозрительного?
в базе поле VARCHAR (30)? | |
| |
|
|
| |
|
|
| |
для: Valick
(20.08.2010 в 11:44)
| | | Да уж, во баран я, часа 2 мучался | |
| |
|
|
| |
|
|
| |
для: scva
(20.08.2010 в 11:15)
| | | зачем же двойным шифровать? давайте сразу пятерным, а лучше десятирным, чего уж мелочиться... | |
| |
|
|
| |
|
|
| |
для: psychomc
(20.08.2010 в 11:48)
| | | а ты как советуеш? | |
| |
|
|
| |
|
|
| |
для: scva
(20.08.2010 в 11:48)
| | | всё зависит от того насколько важна защита.
наверное лучше всего хорошо "подсолить"
2х 3х 4х md5 и т.п делать мне кажется бессмысленно.
потому что их ломают методом перебора из словарей. переборщику же не составит друда пройтись по словарю с md5, потом с md5(md5 и т.п | |
| |
|
|
| |
|
|
| |
для: scva
(20.08.2010 в 11:15)
| | | http://www.md5decrypter.com/ - твой пароль за пол минуты можно узнать. | |
| |
|
|
| |
|
|
| |
для: nikita2206
(20.08.2010 в 13:37)
| | | Это что получается md5 шифрование уже не модно?? И как же быть?? | |
| |
|
|
| |
|
|
| |
для: Filsh
(20.08.2010 в 13:42)
| | | Обратиться к славе зайцеву - он знает что модно. Наверно соль использовать, и вместе с этим сложные алгоритмы шифрования(точнее медленные). | |
| |
|
|
| |
|
|
| |
для: nikita2206
(20.08.2010 в 13:37)
| | | А вы пробовали? | |
| |
|
|
| |
|
|
| |
для: sim5
(20.08.2010 в 13:45)
| | | Не пробовал - не писал бы. | |
| |
|
|
| |
|
|
| |
для: nikita2206
(20.08.2010 в 13:48)
| | | А зря пишите, там не ломают, а из базы предоставляют, и если ломанные, то не за пол минуты.
A decryption for this hash wasn't found in our database.... Вот результаты его взлома. | |
| |
|
|
| |
|
|
| |
для: sim5
(20.08.2010 в 13:58)
| | | Вы что-то не так сделали. Наверно скопировали тот хеш, который длиной в 30 символов. Про то, что данные из базы - ну это и ежу понятно, только таких баз уже довольно много, и соответственно - подобрать уже можно практически любой пароль.
Вот изначальный хеш: 2f7b52aacfbf6f44e13d27656ecb1f59
Вот хеш от этого хеша: b59c67bf196a4758191e42f76670ceba
А вот и сам "пароль": 1111 | |
| |
|
|
| |
|
|
| |
для: nikita2206
(20.08.2010 в 14:05)
| | | Вот c91d81bb7e695816285a6756cea9006e, ломайте. | |
| |
|
|
| |
|
|
| |
для: sim5
(20.08.2010 в 14:12)
| | | Значит можно применять md5, только нужно чуть-чуть исхитрится))
Можно сделать хеш+к нему добавить от себя(например дату регистрации в формате unix) и потом
еще раз зашифровать. А при сравнении делать то же только с введенным паролем и датой регистрации. Я правильно понимаю, так можно, или как-то попроще?? | |
| |
|
|
| |
|
|
| |
для: Filsh
(20.08.2010 в 15:23)
| | | Можно. Просто чем глупее пароль, тем легче просто догадаться какой он. И не удивительно, что такие глупости как 1111 храняться в базе у этих "взломщиков". | |
| |
|
|
| |
|
|
| |
для: sim5
(20.08.2010 в 15:37)
| | | во первых это тестится на локалке, и не зачем делать пароль типа ./'lpl';.[-lpdfgbdfg, а при регистрации на сайте такие пароли, как 1111, 22222, будут запрещены | |
| |
|
|
| |
|
|
| |
для: scva
(23.08.2010 в 10:57)
| | | Сложно будет запретить все простые пароли, типа Вася, Петя, и т.п... Нужно предупреждать пользователя, проверяя его пароль, что он может быть не надежным... | |
| |
|
|
| |
|
|
| |
для: nikita2206
(20.08.2010 в 13:37)
| | | попробуйте - 3a308271ac66949b1d8256954182c52c | |
| |
|
|
| |
|
|
| |
для: scva
(23.08.2010 в 10:58)
| | | Я еще раз повторяю - алгоритм шифрования должен быть всего-лишь медленным.
[поправлено модератором] | |
| |
|
|
| |
|
|
| |
для: nikita2206
(23.08.2010 в 19:04)
| | | [поправлено модератором] | |
| |
|
|
| |
|
|
| |
для: Красная_шляпа
(23.08.2010 в 22:06)
| | | +100 | |
| |
|
|
| |
|
|
| |
для: scva
(24.08.2010 в 10:48)
| | | так кто может показать как взломать двойной md5,
К примеру вот - 3a308271ac66949b1d8256954182c52c
тут всего лишь 6 букв и 2 цифры | |
| |
|
|
| |
|
|
| |
для: scva
(24.08.2010 в 10:49)
| | | прочитайте что такое md5 и ответьте сами на свой вопрос | |
| |
|
|
| |
|
|
| |
для: scva
(24.08.2010 в 10:49)
| | | Подобрать. Например так, но это будет только цифр:
<?php
$hash = '3a308271ac66949b1d8256954182c52c';
for($i = 0; $i < 100500; $i++){
if($hash == md5(md5($i))) exit($i);
}
|
На нормальном языке, Си например, подбор будет вестись довольно быстро, думаю за день управится, а если с CUDA, то час наверное. Сам подбором не занимался, так что точно не скажу.
И говорю еще раз - алгоритм должен быть медленным. Чем он медленнее, тем дольше придется ломать его. | |
| |
|
|
| |
|
|
| |
для: nikita2206
(24.08.2010 в 12:13)
| | | он же хотел взломать :) | |
| |
|
|
| |
|
|
| |
для: psychomc
(24.08.2010 в 13:24)
| | | вообщем только на словах, что md5 гав..... Постоянно слышу , что легко, легко подобрать. Но это только слова. Форумов хакер.ру начитались. | |
| |
|
|
| |
|
|
| |
для: scva
(24.08.2010 в 13:36)
| | | Никогда не читал этот форум. Хоть md5, хоть sha всех их взломать одинаково легко, с помощью подбора. Да и кто тут говорит, что md5 - это гавно? Просто этого недостаточно. Не веришь - ну ты же умней нас, твои проблемы. | |
| |
|
|
| |
|
|
| |
для: nikita2206
(24.08.2010 в 14:02)
| | | ну так подбери, если так легко. Опять слова. | |
| |
|
|
| |
|
|
| |
для: scva
(24.08.2010 в 14:28)
| | | Тема закрыта | |
| |
|
|
| |
|
|
| |
для: scva
(24.08.2010 в 14:28)
| | | Знаешь, если ты скажешь какому-нибудь долбоёбу, что сайт очень легко сделать, то я не думаю что ты станешь делать ему сайт, в ответ на его слова "Ну так сделай, если так легко". | |
| |
|
|
| |
|
|
| |
для: scva
(24.08.2010 в 13:36)
| | | люди много что говорят | |
| |
|
|
