Vlákno názorů k článku Libimseti.cz po hacknutí zvyšuje bezpečnost od xpckar - Proč použili MD5 fakt nechápu, a navíc asi...

Proč použili MD5 fakt nechápu, a navíc asi i bez saltu. Kdo chce kam...

Sudruhovia z Libimseti.cz nechapu, ze md5 hash je mozne najst prostrednictvom google v priebehu 1 klik sekundy. Pouzivat nesaltovane md5 je rovnaka stupidnost ako pouzivat plain text.
Uplne super je, ze naprosta vacsina uzivatelov si vytvori hesla vo formate jarda/jarda111 pripadne jarda/jarda123

Ale to taky ukazuje, že lama vytvořila původní kód, a dneska ho upravuje... další lama (která se evidentně o bezpečnost vůbec nezajímá, resp. nezná ani naprostý základy).

Říká se dvakrát měř jednou řež, zkuste nad tím zauvažovat. Odsoudit někoho rychle umí každý.

Když neděláte sám na sebe tak vám práci někdo přiděluje. A bohužel to dost často znamená že víte že se má něco opravit ale ve svém volnu to dělat nebudete. V případě normální aplikace je to samozřejmě otázka na pět minut, jenže pokud to stavěl na koleně někdo kdo ani nevěděl že má hashovat hesla tak ten kód bude nejspíš takovej ten klasickej štrůdl kde občas je něco funkce a jinak nic. Opravovat něco v bastlech je vždycky peklo, zvlášť když jsou cizí :D

Sice souhlasim, ze by rozhodne mel byt pouzity salt, ale placnuti do do vody o nalezeni HD5 hash behem jedne klik sekundy me rozesmalo (predpokladam, ze se mluvi o rozlousknuti hashe).

Pokud je to pravda, ocenil bych praktickou ukazku. Hash k rozlouskuti je: 870261986fa6a58ac8038e8aa00578d2

Diky

Jirka

P.S. ja ho rozlouskout umim, ale ne behem jedne "klik sekundy" a za pomoci Google. Proto se ptam na tu ukazku.

Existuji cele seznamy MD5 hashu a najit tu pravou neni zase takovy problem.

Jiste. Uz druhy clovek tvrdi ze to neni problem. Rad bych to videl v praxi, hash k rozlousknuti jsem nabidnul.

Schvalne jsem zvolil "jednoduche heslo", ktere by se na libimseti.cz klidne mohlo vyskytnout. Resitelne to je, ale zajimalo by mne jestli to nekdo prakticky dokaze, nebo se v diskusi vyskytnout vykriky do tmy typu "MD5 je k nicemu".

Saltovane MD5 je lepsi nez "hole" MD5. Ale i hole MD5 je vyrazny prosun kupredu od hesel v citelne podobe, ktere melo libimseti doted.

moje tvrdenie o 1kliksekunde vychadzalo z 8 znakov, ktore je naozaj mozne bez pouzitia specialnych znakov "rozlusknut" raz dva.
Predpokladam, ze 870261986fa6a58ac8038e8aa00578d2 nema 8 znakov alebo je pouzity iny znak ako pismena a cislice.

Jak uz jsem psal, zvolil jsem "lehke heslo", tj. je to celkem 8 znaku, pouze mala pismena a cislice. Puvodne jsem mel jen sedm znaku, ale pak jsem si uvedomil ze to je mene nez tec libimseti.cz vyzaduje.

Vysledek me porad zajima. Jak uz jsem taky psal, vyresit to umim, jenom to neumim behem jedne kliksekundy. Proto jzem zvedavy kdo to umi tak rychle a jakou metodu by pouzil.

jirka474

Bezva, diky obema. Co jste pouzili?

Nikoliv běhěm jedné, ale asi během 10 kliksekund.

1. Google: md5 cracker

2. prvních 5 odkazů, něco z toho jsou přímo on-line databáze, něco články s odkazy na další on-line databáze

3. několik on-line databází do záložek, do každé zkopírovat hash

4. řešení zná jedna: http://www.milw0rm.com/cracker/inserted.php

5. je to jirka474

Když má někdo server s dostatečným výkonem a dostatek času, tak si ty hashe ke všem krátkým vstupům klidně vygeneruje.

Nvim no, ale kdyz uz ziskam tu hash, tak asi nebude problem ziskat i ostatni veci, za predpokladu, ze ta hash nebude nejak snadno ziskatelna...

Ohledne te hashe, tak sice existuji algoritmy na dekodovani, ale pravdepodobnost, ze se dopracujete k puvodnimu heslu je asi takova jako, ze zjistite co mam ulozeno ve treti slozce z vrchu na druhem oddilu disku v druhem radici meho pocitace, ktery neni pripojen na zadnou sit :)

Takze jedinou moznost ziskani puvodniho hesla z hashe bych videl na ty seznamy hashu, kde ale "ceskych" hesel povetsinu nebejva, takze zas az tak zhavy to nebude a pokud si da nekdo prihlasovaci udaje user: martina, heslo: martina1 tak tj jeho dmnce...