Ответы пользователя по тегу Хеширование
  • Как узнать систему хэширования?

    Jump
    @Jump
    Системный администратор со стажем.
    Никак не узнать по этим данным.

    Пробил по разным онлайн декодерам, толку ноль.
    Так он соленый скорее всего.
    Ответ написан
    7 комментариев
  • Реально дешифровать md5 хеш для 30 символов?

    Jump
    @Jump
    Системный администратор со стажем.
    Нет.
    Дешифровать md5 хэш невозможно вообще, и неважно сколько там символов.

    Подбор пароля из 17 символов дело малореален. Хотя все зависит от бюджета.
    Одно дело если вы будете подбирать на обычной офисной машинке, и другое дело если задействуете десяток ДЦ.
    Ответ написан
    Комментировать
  • Как расшифровать соленный хэш?

    Jump
    @Jump
    Системный администратор со стажем.
    Как можно расшифровать соленный хэши (который делает роутер)?
    Никак! Нельзя расшифровать то что не зашифровано.

    Можно подобрать пароль который дает этот хэш. Либо словарным подбором, либо по радужным таблицам, либо банальным перебором всех вариантов.
    Если хэш соленый - нужно знать соль и радужные таблицы отпадают.
    Остается словарный подбор или тупой перебор.
    В общем вам нужно знать -
    1)Алгоритм хэширования.
    2)Соль
    3)Хэш пароля.
    Словарная атака реализуется следующим образом -
    Берете слово из словаря, солите, хэшируете сравниваете хэш с тем что имеется у вас и так до тех пор пока не найдете нужное слово.
    Если словарная не помогла - тогда брутафорс.
    Последовательно перебираете все возможные строки из латиницы, спецсимволов и цифр, солите и сравниваете - пока не найдете совпадение.
    В зависимости от длины пароля и мощности железа на хэшировании это может занять от нескольких минут до нескольких миллиардов лет.

    Роутер нам предоставил Ростелеком, когда проводил интернет в нашу организацию.
    Значит нечего туда лазить. Провайдер не обрадуется если вы будете настраивать его оборудование по своему усмотрению. И может либо поменять пароль, либо просто отключить вас. Теоретически может и в суд подать - это уголовная статья кстати.
    работая в нем под обычным админом, нельзя настроить удаленный доступ до роутера.
    Да как нефиг делать. Если у вас есть локальный доступ, то удаленный настроить не проблема. И роутер при этом трогать не обязательно.
    Ответ написан
    4 комментария
  • Можно ли зная хэш и соль, узнать пароль?

    Jump
    @Jump
    Системный администратор со стажем.
    Можно ли зная хэш и соль, узнать пароль?
    Нет это невозможно.
    Что это за хэш такой странный, md4?
    Не зная алгоритм хэширования нельзя сказать какой это хэш и вообще хэш ли это. По длине можно предположить что это SHA-1
    Ответ написан
    Комментировать
  • Бэкап / копия контрольной суммы (файл md5). Нужно ли?

    Jump
    @Jump Куратор тега Резервное копирование
    Системный администратор со стажем.
    Как вы думаете, нужно ли так сильно заморачиваться с контрольными суммами и делать их бэкапы?
    Нет.
    В вашем случае они вообще не нужны. Контрольная сумма нужна чтобы понять что передача по сети завершилась успешно, и файл получен.
    Или для того чтобы убедиться, что кто-то не поменял содержимое архива.

    В вашем случае если вы беспокоитесь о данных лучше добавить в архив информацию для восстановления.
    Ответ написан
    Комментировать
  • Есть хеш SHA256, можно ли через rainbow tables найти подходящий пароль?

    Jump
    @Jump
    Системный администратор со стажем.
    Можно попытаться найти подходящий пароль.
    Если он есть в таблицах - найдете.
    Ответ написан
    1 комментарий
  • Безопасно ли так хешировать пароли?

    Jump
    @Jump
    Системный администратор со стажем.
    Безопасно ли так хешировать пароли?
    Вопрос не имеет смысла. Нужно просто понимать для чего делается хэширование.

    Реально ли подобрать по словарям полученный хеш?
    Хэш по словарям не подбирают. Подбирают пароль по словарям - есть такое. А хэш подбирать это вообще бессмысленное занятие - кому он нужен этот хэш и для чего? Он же никакой ценности не представляет.
    И для того чтобы его получить достаточно просто применить функцию хэширования, это сможет сделать любой человек умеющий считать.

    Или такое хеширование не имеет смысла?
    Совершенно верно.
    Имеет смысл использовать штатные функции хэширования.
    Можно и самому изобретать велосипед, но только в том случае, если вы четко понимаете для чего нужен хэш, и чем ваш метод лучше стандартного.

    Итак - хэш это некоторое число, которое можно получить применив к паролю известный метод хэширования.
    Это число отвечает следующим требованиям -
    • хэширование одинакового пароля всегда выдает один и тот же хэш.
    • Хэширование любого другого отличного от пароля - в подавляющем случае дает другой хэш, хотя в некоторых случаях может дать и тот же самый хэш.
    • Из хэша никак нельзя восстановить пароль.


    Используется хэш в большинстве случаев для исключения хранения паролей.
    Пароль хранить небезопасно, поэтому его не хранят.
    Но нужно же как-то определять - верный пароль ввел пользователь или нет.
    Поэтому хранят хэш пароля.
    Пользователь вводит пароль, его хэшируют и сравнивают с тем хэшем, что хранится в базе, если они совпадают, значит пользователь ввел правильный пароль.
    Ответ написан
    5 комментариев
  • Возможно ли расшифровать обычный мд5 хэш числа 0,... за две минуты?

    Jump
    @Jump
    Системный администратор со стажем.
    Возможно ли расшифровать обычный мд5 хэш числа 0,... за две минуты?

    Расшифровать - невозможно. Ну нельзя расшифровать то, что не было зашифровано.
    Узнать данные которые при хэшировании дадут этот хэш - запросто.
    Гарантированно узнать те самые данные с которых был сделан этот хэш - невозможно.

    Хэширование не является шифрованием, и соответственно не может быть расшифровано в принципе.

    допустим b363c8741f182e6830b1b979e7d9e734, изначально известно, что получившиеся число имеет 0 целых, по данному хэшу конкретно 0.900487363120953700, если это имеет значение
    Не имеет это значения. Никакую информацию о исходных данных по хэшу определить невозможно, по той простой причине, что ее там нет.

    Узнать можно тремя способами-
    • Медленный - брутафорс, тупой перебор вариантов. Это долго и нудно, зато просто. И как повезет. Если не повезет может и до пенсии не узнаете. Хотя если известно что-то о числе, можно по словарю.
    • Средний - атака через коллизии. Это сложно и достаточно долго. Зато надежно, и в среднем намного быстрее первого варианта.
    • Быстрый -RainbowTable Секунда и значение найдено..
    Ответ написан
    8 комментариев
  • Кража хэша пароля из базы данных учеток равнозначана знанию пароля?

    Jump
    @Jump
    Системный администратор со стажем.
    Кража хэша пароля из базы данных учеток равнозначана знанию пароля?
    Нет.

    Знания salt1:hash1 достаточно, чтобы успешно пройти аутентификацию в данном веб-приложении!
    Разумеется нет.

    Общая схема такая - пользователь знает пароль, сервер хранит хэш этого пароля.
    Для аутентификации пользователь отправляет серверу пароль, сервер его хэширует и сверяет получившийся хэш с тем что хранится в базе, если они совпадают - пользователь аутентифицирован.

    Соль используется для затруднения брутафорса при массовой утечке хэшей.
    В случае с солью -
    Пользователь знает пароль, сервер хранит хэш подсоленого пароля и хэш.
    Пользователь отправляет серверу пароль, сервер достает из базы данных соль, добавляет ее к паролю и хэширует получившуюся смесь.
    Если получившийся хэш совпадает с тем что хранится в базе - пользователь аутентифицирован.

    Если злоумышленник знает хэш - это ему ничего не дает.
    На сервер для аутентификации нужно отправить пароль иначе ничего не получится.
    Ответ написан
    3 комментария
  • Почему крупные ресурсы не хешировали пароли?

    Jump
    @Jump
    Системный администратор со стажем.
    А почему вы считаете что они не хэшировали пароли?

    Итак нам например надо взломать почту mail.ru, какие могут быть варианты -
    1)Регистрируем домен mall.ru размещаем на нем страничку визуально похожую на главную страницу mail.ru, подсовываем пользователям, и ждем когда пользователи сами накидают пароли.
    2)Ломаем форум игроков в танки, который склепал школьник - выдергиваем логины и пароли. Идем на почту и пытаемся залогиниться в почту под этим логином и паролем.
    3)Ставим пользователю троян который пишет нажатия клавиатуры. Потом просто сортируем и проверяем рядом стоящие слова как логин и пароль.
    4)Если нам достались хэши паролей - устраиваем на них словарную атаку, т.е хэшируем и солим все популярные варианты паролей и проверяем на совпадение. Это гораздо эффективнее брутафорса.
    6)Ну и еще куча вариантов.

    Если в сети появилась база пользователей и паролей крупной площадки - это не значит что площадку взломали и получили доступ к хэшам.
    Ответ написан
    5 комментариев
  • По какой причине не используются числовые хеши?

    Jump
    @Jump
    Системный администратор со стажем.
    А разве бывают не числовые хэши? Не слышал о таких.
    Ответ написан
    9 комментариев