PDA

Prikaži potpunu verziju : password hash


nighthawk
2.12.2007, 23:12
Moja kanta (komp) - Cel 2.4 GHz (ostale komponente nisu mnogo bitne za ovu operaciju) moze da istera skoro 4 miliona md5 hasheva u sekundi i preko 2 miliona NT hasheva. U prevodu to znaci da je razbijanje sifri u md5 formatu ili windowsovih sifri duzine do 6-7 karaktera maciji kasalj. Medjutim danas sam pokusao da doticni program postavim u md5Unix mod, i dobio sam brzinu od samo 800 sifri po sekundi.

E sad ako se ne varam ovo je format u kome se cuvaju sifre u /etc/shadow fajlu i moja pretpostavka je da je linux 25 000 puta bezbedniji od windowsa po ovom pitanju (toliko je sporije razbijanje sifri). Da li sam u pravu?

Neky
3.12.2007, 21:13
ne znam da li si u pravu, ali znam da imaš viška slobodnog vremena. :p

bladerunner
3.12.2007, 21:30
U pravu si da je Linux bezbedniji od windowsa, ali nisam siguran da je cifra ispravna, jer se bezbednost inače ne izražava u nekim odnosima i sl. Postoji mnogo faktora koji Linux čine bezbednijim od windowsa, a korišćenje "soli" radi produžavanja i povećanja "slučajnosti" lozinke je samo jedna od njih.

nighthawk
3.12.2007, 22:58
linux 25 000 puta bezbedniji od windowsa po ovom pitanju (toliko je sporije razbijanje sifri).

Naravno da ukupna bezbednost ne moze da se meri brojkama (mada postoje neke kategorije), mislio sam samo na deo koji se tice vadjenja sifri iz hasha.

Iako je cesto lakse resetovati tu sifru (iz nekog drugog OS-a) dosta je vazno da ona bude tesko krekabilna, a meni uopste nije jasno zasto bi neki OS imao tako slabu enkripciju (hash) kao sto je to slucaj sa windowsom.

JovanK
4.12.2007, 0:51
Svi ti programi rade na bruteForce algoritmu, to jest kreiraju hash pa ga uporedjuju sa ovim sto ga krekujes. md5 je 128-osmo bitni hash, ciji algoritam da ja znam nije jos provaljen.
Vjerovatno znas da postoji gomila online hash krekera, koji rade na istome principu, dakle bruteForce algoritam. E sada mozes ti misliti ako je128 bita koliko je to kombinacija. Ne znam kako si dosao do podatka od 4 miliona u sek, da to nije ipak malo puno. Ali za razbijanje jednoga dobroha hasha koji nije vec provaljen treba dosta, dosta vremena.

bladerunner
4.12.2007, 1:37
Iako je cesto lakse resetovati tu sifru (iz nekog drugog OS-a) dosta je vazno da ona bude tesko krekabilna, a meni uopste nije jasno zasto bi neki OS imao tako slabu enkripciju (hash) kao sto je to slucaj sa windowsom.

Paaa... Većina operativnih sistema koristi hash funkcije za šifrovanje lozinki. To je jednosmerna kripcija. Najpopularnije hash funkcije su md5, md4, sha1, Tiger, mada postoji mnogo drugih.

Osnovne odlike su im da imaju malo kolizija (dva ili više stringova koji daju isti rezultat), da rezultat ima izuzetno malu sličnost sa stringom od kog je napravljen, kao i da dva slična stringa daju dva ne slična rezultata.

Drugim rečima, idealne su za čuvanje lozinki.

Naravno, ispitivanje je konstantno i md5 se od 2005. godine može uslovno smatrati nepouzdanim. Pseudoslučajni brojevi ipak nisu dovoljno slučajni... :)

nighthawk
4.12.2007, 23:25
Ne znam kako si dosao do podatka od 4 miliona u sek, da to nije ipak malo puno. Ali za razbijanje jednoga dobroha hasha koji nije vec provaljen treba dosta, dosta vremena.

Program passwords pro na mom kompu daje ovaj rezultat od 4 miliona u sekundi za md5. Sto se tice internet servisa koji rade na principu rainbow table - oni mogu sifru od 8 karaktera da izvuku iz md5 hasha za manje od jednog sata (ovo sam licno probao), dok razbijanje sifri do 10 karaktera moze da potraje dan-dva (podatak sa sajta).

PDarko
5.12.2007, 1:44
SHA1 je razbijen 2005, a MD5 je ranije (valjda 2004). Evo prilažem dva različita fajla koji imaju isti MD5 + algoritam za krekovanje (md5 coallision).

Salito
22.12.2007, 23:55
Sto se tice razbijanja hasha, on se pravi na osnovu unete shifre. Crack programi salju "rechi" i uporedjuju hash. Stoga, najsigurniji je GNU/Linux sistem sa strong passwordom, jer veliki broj programa za razbijanje shifri ne koristi specijalne karaktere. Da li sam u pravu???

primer strong pass: HD!%^#$ada0192
??? Am I Right???

nighthawk
23.12.2007, 16:47
@Salito

Jeste u pravu si. Sigurna sifra treba da ima velika, mala slova, brojeve i specijalne karaktere. Samo ne mora da bude u obliku koji si ti stavio, tj. tako teska za pamcenje. Dovoljno je da imas bar jedan karakter iz svake grupe, recimo: svetKomjut3r@ tj. samo jedno veliko slovo ce onemoguciti napad u kome se koriste samo mala slova.

@PDarko

To sto postoji nacin da napravis dva razlicita programa sa istim hashom ne znaci da ces moci da napravis dve sifre koje imaju isti hash. Vecina sistema ima ogranicenje duzine sifre, kod win-a je to recimo 128 karaktera, a u tih 127 karaktera verovatno ne postoje dve razlicite kombinacije koje ce dati isti hash, pogotova ako se radi o kratkim siframa koje ljudi mogu da zapamte (<30).

Salito
24.12.2007, 9:29
Ja koristim sifre koje ne mogu da izgovorim, ne mogu ni da ih napisem na papiru, samo znam kako se kucaju. Odredjen niz besmislenih karaktera u kombinaciji sa shiftom, dug 10-15 karaktera. Hihi, jednom me cimer zvao da mu izdiktiram password, trebalo mu neshto, to je potrajalo dobrih 5 minuta, dok sam ja shvatio sta treba da se kuca...:rofl: