Zdravim,
kdyz je to md5 tak na prd, da se to zakodovat necim jinym volne dostupnym v php? Diky za odpoved...
jednosměrně? Třeba crypt, protože sha1, md5 a spol nejsou určeny na šifrování.
Obousměrně můžeš využít BASE64
Nebo zagůgli a najdi si nějakou šikovnou třídu.
Jakou konkétní výtku máš proti md5?
2Tom: Diky, jo, myslel jsem jednosmerne. A jak to zasifruju tim cryptem? Musim nekde neco stahovat? sha1 mi nejelo vubec, pry to takovou funkci nezna.
2zbi: No ze se to pry da "probourat" behem pul minuty...
>> No ze se to pry da "probourat" behem pul minuty...
to samy plati i pro sha1, crypt, a dalsi a dalsi
no nevim jak muzes nabourat md5 kdys je jedmosmerny... Blaznis? To bys musel byt primo autorem md5, abys dokazal ten 32 znakovy hash prevest naspatek... Na zistovani toho algoritmu by ti nestacil cely tvuj zivot! Tak nezikej ze md5 je na prd kdys se vtom nevyznas...
2Mike: Aha, tak to jo, ja myslel, ze treba to sha1 nebo crypt jsou lepsi...
24-b.xf.cz: No staci se podivat na jedno tema tady - sessions. Tam o tom nekdo neco psal. Zkus dat do googlu prolomeni MD5, tam ti to vyhodi nejaky clanky, jestli te to tak zajima. Nebo je tam neco o nejakym programku rainbow attack, s tim to jde pry behem chvilky. Nevim jak se to dela, ani me to vlastne nezajima, ale ocividne to jde. Tak nerikej, ze to nejde, kdyz se v tom nevyznas;-)
Jako dukaz ze md5 je silne, tak tady zverejnim md5 hash miho hesla. At se libi: a82c8a9f536794df3d36cdc001f583f4
A sem zvedaf kdo uhadne jake mam heslo ?!
Mimochodem jak se to teda dela na nejakych strankach, kde to zabezpeceni asi dost resi? Treba tady nebo nejaky mailovy servery nebo tak?
24-b.xf.cz: No mne je to jedno, rikam jen co jsem cetl a nejenom tady. Tam to myslim nefunguje tak, ze bych z toho mohl zjistit tvoje heslo. Ale ze se tam da probourat skrz nejaky kolizni retezce ci co. Nevim, nevyznam se v tom a jak se to dela me nezajima, tak to ani nebudu zjistovat. Me jenom zajima, ze to proste nejak jde. A jestli chces vedet jak tak se podivej na ten internet, tam to urcite najdes...
Ahoj. Hashovacie f-cie su jednosmerne, takze sa neda hovorit o prelomeni. Ide o to najst k hashu jedneho slova dalsie slovo, ktore ma rovnaky hash. A to sa v pripade MD5 podarilo! Tym padom je teoreticky mozne najst retazec, ktorym sa moze heslo 24-b.xf.cz v zahashovanej podobe nahradit. Na www.root.cz je o tom clanok.
OK... a jak se to teda dela na nejakych profesionalnich strankach? Takto asi ne, nebo jo?
Vy ste asi upadli,co? :)
MD5 je jednosmerná a dešifrovat ji nelze. To co bylo zašifrováno lze zjistit jedine tak, že se program zkouší zašifrovat "náhodné" stringy (nejdříve podle nějakého slovníku a pak uplně náhodné typu "aabbg32") . A potom se po čase dostaví úspěch. Ale jak už se někteří zmiňovali tak to chvilku trvá. Jinak způsob šifrování md5 jsou všeobecně známé! (stačí se podívat do googlu => google ví, google napoví :) )
A velmi podobně jsou na tom třeba i sha-1 :) akorát ta má složitější hash takže trvá o maličko déle než člověk zjistí co bylo zakryptovano :) A jinak i u profesionálu se to dělá takto :) (třeba centrum.cz, i seznam.cz používají "obyčejný" hash => akorat to sifrujou uz u klienta a pak odesilaji zasiforvane :) (zkus si chytit packet ktery od tebe odchazi k nim :-D (mas tam to heslo pekne v nakem hashi :) (jestli je to md4,md5,sha-1, nebo cokoli jineho sem nezkoumal :) ))) )
2barguzin: No, cetl jsem ted jeden clanek
http://aktualne.centrum.cz/technika/svet-pocitacu/hw-sw/clanek.phtml?id=282000
a tam teda porad pouzivaji vyraz "prolomeni". A jak to podle toho clanku vypada, tak sha1 na tom neni tak spatne a sha2 je pry povazovany za bezpecny... takze asi neni pravda, co rikal Mike, ze je to totez co md5
2Freeze: No nevim... ze to jde desifrovat tu nikdo nerika. Kdyz rikas, ze to jde udelat jenom takto, tak potom nevim, jak se to tomu kryptologovi z toho clanku podarilo prolomit za 17 vterin, to je podle me nesmysl...
jinak dik za to info o tech profesionalnich strankach, to jsem chtel vedet;-)
A jéje ... dovolíte, abych taky přispěl?
Jelikož a protože člověk, je tvor nedokonalý, ani jeho výplody nejsou dokonalé.
Proto nikdy, ale opravdu nikdy nebude existovat dokonalá šifra (viz citát "dejte mi nekonečně velký výpočetní výkon a prolomím to za nekonečně krátkou dobu", ale to už jsme trošku mimo).
Takže ani md5, ani sha1, ani crypt nejsou dokonalé a dají se "prolomit" (rozuměj nalézt kolizní řetězce). Kolizní řetězec je takový řetězec, jehož hash je identický s hashem originálního řetězce, tudíž nepotřebuji znát původní heslo, stačí mi znát hashovací fci, kterou je řetězec prohnán.
4-b.xf.cz: být tebou si heslo změním, protože pokud se najde někdo, kdo aspoň trošku ví, která bije a má chuť se s tím zabývat během několika málo (desítek) minut zjistí kolizní řetězec a bez problému se ti tam přihlásí.
BTW: a protože jsem to jen tak z prdele zkusil, tak mám hned 6 kolizních řetězců a to mi to netrvalo ani 15 minut ;) Škoda že nejsem svině ...
Zagůgli a uvidíš ;)
ChristmasPoo: tam se
a) kombinují fce
b) používají vlastní
c) spoléhá se na to, že nikdo nepříjde na to, čím to prohnali ;)
d) ukládá se do plain textu (viz třeba lŽivě.cz =)
2Tom: Diky za info (jak se to dela na tech profesionalnich strankach)
>ChristmasPoo: No nevim... ze to jde desifrovat tu nikdo nerika.
Vážně? Tak to jsi asi přehlédl odvážného "znalce":
>4-b.xf.cz: Blaznis? To bys musel byt primo autorem md5, abys dokazal ten 32 znakovy hash prevest naspatek...
Lidé, kteří netuší, ale neví o tom, jsou často velmi zábavní (mám na mysli 4-b) :))
DeedX: No jo, to je vlasnte pravda. Zajimavy, ze v tom samym prispevku pise, ze je jednosmerny;-)
DeedX: ' odvážného "znalce" ' hele, jakýho odvážnýho znalce? Vždyť jsem 5 minut Gůglil, stáhnul jsem ulitku (cca 800KB) a po vložení Hashe mi to za 15 minut vrátilo 6 řetězců, které tomu odpovídaly. Na tom nevidím nic znaleckého, ani odvážného. Odvážné a znalecké by bylo, kdybych to použil, vybral mu účet a změnil heslo ;)
Vztahovačný Tome, klid :). O tobě v mém postu nepadlo jediné slůvko... Zkus si ho přelousknout ještě jednou ;)
Celkom sa debata rozprudila :-) Tom, ako sa vola tato utilita? Hod mi sem prosim link. A skusal si to aj na SHA1? Freeze uviedol si sifrovanie resp. hashovanie este na strane klienta, je to realizovane v JavaScripte alebo nejakym appletom Java? Ja som raz mal moznost stiahnut si JavaScriptovu funkciu na zaheslovanie stranky. V zdrojovom kode bolo jedno velmi velke pole znakov a v status riadku ukazovalo priebeh odomykania, trvalo to urcitu dobu, ale heslo by som zo zdrojaka nevycital (a to som si myslel ze JavaScript nie je na zaheslovanie stranky vhodny). Je to forum o PHP a tak nakoniec sa chcem este opytat, ci podporuje PHP aj asymetricke sifrovanie? Podla toho, co som cital v manuali, tak co rozsirenia Mcrypt sa tykam tak nie :-(
4-b.xf.cz (4-b.xf.cz)
a82c8a9f536794df3d36cdc001f583f4
Ses hazarder. Nechce se mi nahravat ten program na 10 minut, abych ti dokazoval neco :)
Ten program dela to, ze hleda prvni kolizni reseni podle dosazovani urcitych moznych znaku. to kolizni reseni vubec nemusi byt shodne s tvym heslem, ale po jeho zadani vznikne uplne stejny md5 hash.
google.com = prolomeni md5
Freeze (dreamer.xf.cz)
probud se, md5 hadat nahodne, slovnikem, to je opravdu hodne zastarale reseni asi na 2 dny prace a to mas nejisty, jestli neco najdes.
ChristmasPoo (oktavab2004.unas.cz)
md5, sha1, sha2 je totez, kontrolni soucet, ale pouziva malicko odlisny zpusob
17 vterin prolomeni je naprosto realny cas. Podivaj se v google na
javascript md5 , tam jsou rozepsany rovnice, jejichz vysledky muzou mit jen urcite reseni a toto reseni ti zpetne vygeneruje jen urcite znaky. Rekneme a-h vyjde prvni A. Kdyz je prvni mezi d-x vyjde druhe B a uz mas omezeny prvni znak na d-h a to uz je velice jednoduche zkusit 5 reseni misto 255
Tom (manual.wz.cz)
mels mu jich vsech 6 vypsat, aby je zkusil. Pak by pochopil, ze kazde to reseni vygeneruje stejny md5.
barguzin (barguzin.wz.cz)
Sem s tim souborem. JS neni bezpecny, zdrojak se da precist. Nekteri lide to stale nechapou a jsou s tim velice zabavni jako s md5 :)))
Pravdepodobne to bude neco velmi primitivni. Nejlepsi, co znam je MS IE Zip ActiveX kompresse a nevim, zda tam jde i zaheslovat.
http://www.volny.cz/peter.mlich/www.htm#mssub11
www.volny.cz/peter.mlich JS compress (6k)
neni to primo urcene na sifrovani a neni to uplne odladene, ale v podstate to funguje a umi to zmensit soubor. Neco podobneho najdes jako nefree verzi pod dekodovaci funkci funkce(p,a,c,k,e,d) . Nevim, jak to nazyvaji.
ChristmasPoo (oktavab2004.unas.cz)
"Neco lepsiho nez md5"
Bylo uz receno, vlastni funkce.
Das si retezec zasifrovat pod heslem1, prekodovat do morzeovky, a jeste heslo2 a nejaka dalsi sifra, treba. A kdo tenhle postup nezna, tak se s tim natrapi.
Jinak plne dostacujici je md5, sha1, sha2 (je mozna treba nainstalovat nejakou knihovnu, pokud ti to nejede). V pripade bezpecnejsich aplikaci je treba pouzit vlastni funkci.
Ze nekdo vyuzije hash md5 k prruniku do systemu jeste nemusi znamenat takove skody, jako kdyz mu to zobrazi primo heslo, ktere je cirou nahodou shodne s cislem mobilu, bankovniho konta, pinkodu karty,...
Docela mě tato debata pobavila. Pár perliček:
- "pry da "probourat" behem pul minuty" už je to slovo PRÝ
- "To bys musel byt primo autorem md5, abys dokazal ten 32 znakovy hash prevest naspatek" Algoritmus md5 je všeobecně známý...
Zajímavé, že skoro všichni řeší jak s hashe získat kolizní řetězec, ale nikdo se nezabýval tím, jak získat ten hash. To by mě zajímalo.
A i když získáte hash, i když nevím jak, opravdu si myslíte, že to dělám md5($heslo)? Přece stačí md5($login.$heslo), nebo md5($heslo.$login) nebo md5($login.$login.$heslo) nebo md5(md5($login.$heslo)) a mnoho dalších možností a pak vám nepomůže kolizní řetězec, protože neprojdete přes login.
PS. Co máte tak super tajného na vašich stránkách na freehostingu, že je vám md5 málo?