|
| |
|
|
| |
для: Vados
(21.05.2006 в 12:28)
| | | Для того, чтобы показать, что подбор в лоб не всегда является хорошим способом впринципе можно было ограничиться и латинским алфавитом в одном из регистров. | |
| |
|
|
| |
|
|
| |
для: Евгений Петров
(21.05.2006 в 12:19)
| | | Да, но ты также забыл учесть в пароле не только буквы и цифры, а также: подчёркивание, запятые... из-за этого количество увеличивается! | |
| |
|
|
| |
|
|
| |
для: ec_stasis
(19.05.2006 в 09:49)
| | | рано или поздно любой пароль будет расшифрован...
Только к тому моменту как закончится подбираться пароль из, скажем, 12 символов - динозавры оживут, я как то увлекался расшифровкой паролей из хешей при помощи md5inside. На Athlon 2000+ у меня была скорость где то 800 000 паролей в секунду. Допустим у нас алфавит из латинских и русских символов верхнего и нижнего регистров и цифры, т.е. всего символов: 33+33+26+26+10 = 128 символов алфавита.
Пароль 12 символов, т.е. 128^12 = 19342813113834066795298816 комбинаций. Т.е. при скорости подбора 800 000 хешей в секунду, пароль будет подбираться 613356580220512011,52 лет!!! | |
| |
|
|
| |
|
|
| |
для: Пётр
(20.05.2006 в 11:49)
| | | Не совсем: в этом случае исключается, или значительно снижается (в случае юзерагента) возможность кражи сессии. Так что смысл в этом есть. | |
| |
|
|
| |
|
|
| |
для: Loki
(19.05.2006 в 23:28)
| | | но и в предложенном Вами варианте - когда используется IP или данные браузера, они должны передаваться стороне клиента (для шифровки на его стороне) и, соответственно, будут видимы злоумышленнику. Или, если их не передавать стороне клиента, то тогда по сети пойдёт гулять всего лишь хэш самого пароля и отпадает смысл в дополнительном шифровании с использованием IP. | |
| |
|
|
| |
|
|
| |
для: Vados
(18.05.2006 в 23:51)
| | | Скажите пожалуйста, а сколько времени необходимо для того, чтобы расшифровать MD5
Для этого нужно знать скорость перебора на конкретной машине. Затем вычислить примерное количество всех вариантов пароля на основе предполагаемой длины и предполагаемого количества используемых символов в пароле. Затем поделить количество всех вариантов пароля на скорость перебора - получим максимальное время, которое уйдёт на перебор всех вариантов. | |
| |
|
|
| |
|
|
| |
для: Пётр
(19.05.2006 в 13:51)
| | | Ну мы же защищаем пароль... если злоумышленник утянул из БД хэш, то может расшифровывать его до опупения - он же не знает что скрипту нужно скормить кроме самого пароля... а вот в вашем случае - эта информация на поверхности. | |
| |
|
|
| |
|
|
| |
для: Пётр
(19.05.2006 в 16:24)
| | | ага, особенно, если зашифровать ключ несколькимифункциями шифрования) | |
| |
|
|
| |
|
|
| |
для: Vados
(19.05.2006 в 15:46)
| | | можно любой, но если вариант правильного ключа один из миллиона, миллиарда то вероятность его подбора стремится к нулю :) | |
| |
|
|
| |
|
|
| |
для: Пётр
(19.05.2006 в 13:51)
| | | Ребята, всем привет!
Огромное спасибо! Теперь стало немного понятнее, но всё же скажите мне, в принципе подобрать можно любой ключ?! Правильно?!
Вопрос только времени. | |
| |
|
|
|
