|
| |
|
|
| |
для: Loki
(14.12.2005 в 09:49)
| | | Хм... есть такое дело, но они тоже помоему не просто ищутся... | |
| |
|
|
| |
|
|
| |
для: PantiL
(14.12.2005 в 12:02)
| | | Просто если известен алгоритм хеширования, то вполне возможна и обратная процедура. Другой вопрос что первоначального текста мы не получим, но зато получим нечто, дающее нужный хэш.
Гм... а по чему нужно делать авторизацию?:) | |
| |
|
|
| |
|
|
| |
для: Loki
(14.12.2005 в 09:49)
| | | Да программы существуют для восстановления пароля из хэша. Недавно пришлось восстанавливать пароль админа на ВинХР, пользовался прогой MD5Inside (вроде так). Эта прога использует базу паролей, и перебирая их ищет возможный вариант, но если же в списке паролей не нашелся искомый, перебор всех вариантов может затянуться на несколько суток. Я уж забыл как называются таблицы (в хакере за окт писали) возможных вариантов, ускоряющих перебор, но даже с ними восстановление пароля затянется на очень большое время. Многих и очень многих это остановит и найденный хэш ничего не принесет.
Но есть придурки программисты которые делают авторизацию по хэшу - вот тогда нет смысла в этой защите. | |
| |
|
|
| |
|
|
| | Мне тут подумалось, а от чего защищает эта защита?
Предположим, злоумышленник получил хэш пароля из базы. Понятно что пароль он по нему долго будет восстанавливать, но надо ли это? Если я ничего не напутал, то существуют программы, которые на основе хэша создают массив возможных значений. То есть фактически нам подойдет любое значение дающее хэш равный имеющемуся. Если такие программы не вымысел (а я не вижу причин, по которым они не могу существовать), то хэш не дает никакого преимущества перед обычным паролем. Защитить может только какое-то нестандартное хэширование (двойное или манипуляции с паролем перед хэшированием).
Может я что-то не учел? | |
| |
|
|
|
