Kako saznati pw?

2

Kako saznati pw?

offline
  • Pridružio: 06 Jul 2008
  • Poruke: 63
  • Gde živiš: Nis

Au od jednog prostog pitanja, dosli smo do neke kartice vredne 80 000 dolara xD
Mislio sam da postoji neki jednostavniji nacin, posto sam vlasnik foruma...



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • Ceva  Male
  • Super građanin
  • Pridružio: 10 Mar 2005
  • Poruke: 1313

Pa naravno da postoje i jednostavni nacini. Ali doci do jednostavnog nacina nije lako. Btw izvinite za off topic ali me interesuje kad smo vec ovde.
Neki od vas znaju da je npr hash md5 . Recimo (2h32124k3ee31224125h12k3j24j212j3dascg) od toga se dobija , lupam (24eleven1) jel moze da se nadje negde matematicka forumla ili tome slicno da se rucno izracuna sta se dobija od hash-a, jer predpostavljam da se to dobija matematickim putem ?



offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

Napisano: 07 Jul 2009 5:31

@ceva
Poenta hasha je da bude jednosmerna funkcija, tj. da se od rezultata ne mogu saznati polazni podaci. Znaci, nema inverzne matematicke funkcije.
Jedini nacin je koristiti tu istu hash funkciju i nasumicno pokusavati razne polazne podatke (sifre) i videti da li imaju isti hash kao i ona sifra koja tebi treba.

https://www.mycity.rs/must-login.png

Dopuna: 07 Jul 2009 5:35

@klodovik
Cena je bila 30000$ pre 6 godina:
http://www.google.at/search?hl=en&safe=off&.....tnG=Search

offline
  • Ceva  Male
  • Super građanin
  • Pridružio: 10 Mar 2005
  • Poruke: 1313

@ bobby

Bash ti hvala puno ovako nesto sam i hteo da procitam i analiziram. Smile

Inace ovaj topick gubi svrhu jer se ide mnogo u offtopic.
Tako da bi mogo da padne lock Razz

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

Obrisao sam dobar deo diskusije ovde jer su pale neke teske reci.

Zeleo sam da raspravimo o tom "razbijanju sifara" s tehnickog aspekta, ne bi li ljudi naucili neke osnove tipa toga sta je hash, da je to jednosmerna funkcija itd. i da je razbijanje sifre dugotrajan, a najverovatnije i uzaludan posao (u najmanju ruku nije vredan ulozenog truda).

Pruzanje konkretne pomoci u saznavanju lozinke korisnika (sto je bilo originalno pitanje) ovde nije dozvoljeno.
Obrisao bih svaki link ka sajtovima ili programima namenjenim takvim stvarima.


Da zakljucim ovu moju poruku - Zla sarma 95 jeste bio u pravu kada je na samom pocetku rekao da to ovde nije dozvoljeno.
Onda sam ja zeleo da temu okrenem na tehnikalije, ne bi li ljudi naucili nesto korisno.

Temu necu zakljucavati, ali cu svakako moderisati temu ukoliko opet krene nizbrdo.

offline
  • Pridružio: 06 Jul 2008
  • Poruke: 63
  • Gde živiš: Nis

Nije rekao da nije dozvoljeno nego da ne moze. To su totalno razliciti pojmovi!!!!

Stoga, bih molio da dalju temu nastave iskusnija i starija lica, a ne deca od 13-14 godina, kojima komp. sluzi samo za igranje igara.
Posto, deca ko deca (ne kazem da nisam ni ja to, ali sigurno sam zreliji), misle da sve znaju, i ovde na internetu daju totalnu drugaciju sliku o sebi, od onoga sto zapravo jesu, i vole svuda da guraju nos, kako bi dobili "visi cin" na forumu. E sada je na tebi (vama) da li ces "moderirati" ovaj post, ali ja samo realno sagledavam situaciju i mislim da sam nepravedno opomenut.
Pozz

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

Nece niko dobiti cin na takav nacin ovde, to je sigurno Smile


Veruj mi da nemam snage da sada dalje objasnjavam. Imao sam tezak dan na poslu (fizikalisanje), i sada stvarno nemam snage, ni volje da objasnjavam gde cinis generalno gresku u ovom tvom obracanju.

Citamo se sutra ujutru u 5, kada ustajem za na posao.
Do tada mi budite mirni, i nemojte da potezem rukom za prutom ujutru kad ustanem Smile

offline
  • PHP developer
  • Pridružio: 22 Mar 2006
  • Poruke: 3745
  • Gde živiš: 127.0.0.1

Ako na trenutak zanemarimo cinjenicu da je to sto trazis i nelegalno, i nemoralno, stvari stoje ovako:

1. Svi iole ozbiljniji forumi (odnosno vecina web aplikacija) password cuvaju u hash (bilo md5 ili sha1) obliku. Oba hasha su takva da ne postoje dva stringa koja bi dala isti hash. Takodje, hash od jednog stringa je uvek isti, pa se autentifikacija vrsi tako sto se uporedjuje hash od unetog stringa sa hashom sacuvanim u bazi.

2. Odredjeni procenat web aplikacija ide i malo dalje na planu sigurnosti - koristi tzv. Salt. Odnosno, na password korisnika se dodaje odredjeni deo, generisan od strane aplikacije, pa se spojeni string hashuje. Cilj ove procedure je povecavanje broja uzaludnih pokusaja prilikom razbijanja passworda - jer povecava duzinu originalnog passworda, pa je tako neophodno izvrsiti veci broj pokusaja.

3. Hash (i md5, i sha1) je jednosmerna funkcija - odnosno, ne postoji inverzna funkcija koja bi iz generisanog hasha "izvukla" originalni string.

4. Sa tastature je moguce otkucati, koristeci samo slova i brojke, 62 karaktera (26 lowercase, 26 uppercase i 10 cifara). Ukoliko se koriste i specijalni karakteri, broj mogucih karaktera se povecava na 94 karaktera. Sto znaci da je string od samo 2 slova moguce napisati na 94^2 nacina. String od recimo 10 karaktera je moguce napisati na 94^10, odnosno 53.861.511.409.489.970.176 nacina. Toliko bi operacija bilo neophodno izvrsiti da bi se sa sigurnoscu "razbio" password, i to ukoliko prilikom hashovanja nije koriscen salt - koji bi dalje drasticno povecao broj operacija - kao da je u pitanju toliko karaktera duzi password.

5. Ukoliko ne znas duzinu passworda, a iz hasha to nikako nije moguce zakljuciti (hash je uvek iste duzine, bez obzira na duzinu stringa), samo za proveru mogucih varijanti do deset karaktera duzine je potrebno izvrsiti 94+94^2+94^3+94^4+94^5+94^6+94^7+94^8+94^9+94^10, odnosno 54.440.667.446.151.152.650 operacija.

6. Dalje, cak i da nekim cudom uspes da izvrsis toliki broj operacija (za sta ce ti trebati prilicno vremena, ili ona kartica od par hiljada evra), i to pod pretpostavkom da imash hash passworda, ukoliko je koriscen salt, za koji ne znas ni da li je koriscen, ni koje je duzine ako jeste, treba da ga na neki nacin "odvojis" od originalnog passworda.

7. Postoje i tzv. Rainbow tables, odnosno tabele u kojima za odredjeni broj stringova postoje hashovane vrednosti, pa se prostim uporedjivanjem unetog hasha i vrednosti iz tabele moze dobiti originalni string. Takve tabele su retko (skoro nikad) 100% pouzdane, jer postoji ogroman broj kombinacija i skoro je nemoguce sve ih uneti u bazu. Za neke se koriscenje placa, za neke ne, ali nije sigurno da ces dobiti rezultat.

Zakljucak:

To je bio neki kraci teorijski uvod na kom principu se zasniva hash tehnologija i kako bi se (teorijski) moglo doci do passworda preko hasha. Medjutim, tebi to moze da posluzi samo informativno, jer na forumotionu nemas cist pristup sql bazi, nego samo preko administracije foruma, a nemas ni ftp pristup da bazi sam pristupis, te tako ne postoji nacin da dodjes ni do hasha passworda, a kamoli do cistog passworda.

Ipak, cak i da nekim cudom dodjes do hasha, vreme koje bi proveo razbijajuci ga se meri danima, ako ne i nedeljama ili mesecima, zavisi od duzine originalnog passworda.

offline
  • soxxx 
  • Prijatelj foruma
  • Pridružio: 25 Maj 2005
  • Poruke: 1482
  • Gde živiš: Gracanica, Kosovo

Rastafarii ::Ako na trenutak zanemarimo cinjenicu da je to sto trazis i nelegalno, i nemoralno, stvari stoje ovako:

1. Svi iole ozbiljniji forumi (odnosno vecina web aplikacija) password cuvaju u hash (bilo md5 ili sha1) obliku.

Nasao sam podatak da je recimo phpBB2 koristio samo md5 hasheve koji su unoseni u bazu, dok je sa dolaskom phpBB3 (s kraja 2007) uvezen md5 + salt (PHPass).

Rastafarii ::6. Dalje, cak i da nekim cudom uspes da izvrsis toliki broj operacija (za sta ce ti trebati prilicno vremena, ili ona kartica od par hiljada evra), i to pod pretpostavkom da imash hash passworda, ukoliko je koriscen salt, za koji ne znas ni da li je koriscen, ni koje je duzine ako jeste, treba da ga na neki nacin "odvojis" od originalnog passworda.
Nisam crypto ekspert ali bi trebalo da se salt isto cuva u bazi kao i krajnji hash jer mora da postoji nacin da aplikacija autentifikuje korisnika kada ukuca lozinku. Na taj nacin aplikacija moze da uzme lozinku, doda salt, hashuje i uporedi sa unosom iz baze. Vazno je samo da salt bude jedinstven za svakog korisnika.

Sto se tice PCI kartice koja se pominje, ima par primera po netu gde su za brute force koriscene graficke kartice zbog prednosti u brzini svojih GPU jedinica. Zadnji podatak koji sam nasao je da je covek upario 4 graficke (4x eVGA 9800GX2) da bi postigao oko 3.6 biliona hasheva u sekundi. Za primer, moderni dual-core procesori bi trebalo da postizu oko 10 miliona. Ovo su njegovi rezultati:

All passwords (lowercase or uppercase, alpha, 26^1+26^2+26^3+…)

up to 8 characters => 60 seconds
up to 9 characters => 26 minutes
up to 10 characters => 11 hours

All passwords (mixed case, alphanum, 62^1+62^2+62^3+…)

up to 7 characters => 16 minutes
up to 8 characters => 17 hours
up to 9 characters =>44 days


Rastafarii ::7. Postoje i tzv. Rainbow tables, odnosno tabele u kojima za odredjeni broj stringova postoje hashovane vrednosti, pa se prostim uporedjivanjem unetog hasha i vrednosti iz tabele moze dobiti originalni string. Takve tabele su retko (skoro nikad) 100% pouzdane, jer postoji ogroman broj kombinacija i skoro je nemoguce sve ih uneti u bazu. Za neke se koriscenje placa, za neke ne, ali nije sigurno da ces dobiti rezultat.
Neznam koliko su pouzdane, ali je definitivno prostor, kao i vreme za pravljenje rainbow tabela, najveci problem. Rainbow tabele se mogu naci, ali uglavnom za mala i velika slova + brojevi.
Evo jednog zanimljivog linka:

http://www.matasano.com/log/958/enough-with-the-ra.....d-schemes/

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

Znam da je Active Recovery napravio verziju svog programa za razbijanje RAR sifara, koji koristi nVidia graficke kartice novije generacije kao procesore.

Ko je trenutno na forumu
 

Ukupno su 646 korisnika na forumu :: 9 registrovanih, 0 sakrivenih i 637 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: bojank, DPera, dragoljub11987, gorantrojka, hyla, Krvava Devetka, Lord Nem, nemkea71, opt1