Coderen van wachtwoord?
Pagina: « vorige 1 2 3 volgende »
Gewijzigd op 23/01/2006 00:26:00 door Jan Koehoorn
Jan:
@ Pim: mee eens. Bij "hacken" mag je toch enige intelligentie veronderstellen. Brute-forcen komt er op neer dat je een bos met 5 miljoen sleutels hebt, die je één voor één gaat proberen.
Hoe kun je het eens zijn met iets wat niet waar is?
Alle algoritmes zoals md5 zijn ALGORITMES. Een algoritme kan per definitie gehackt worden. Je moet alleen de juiste berekening weten te achterhalen. Deze algoritme achterhalen kan ook bruteforce, maar dan heb je wel de echte priemgetallen en berekeningen. Maar dan nog getuigd het van grote intelligentie om dit te doen. Dus ik vind het een nogal misplaatste statement van Pim.
5 % 3 = 2
8 % 3 = 2
11 % 3 = 2
Als je nu eens wist hoe vaak er "gemodulo'd" is? Dat modulo-getal is algemeen bekend; daarom kan md5() in elke programmeertaal toegepast worden. Maar die factor achterhalen is mogelijk, al zou ik (gelukkig) niet weten hoe.
1x -> 5
2x -> 8
3x -> 11
Alleen dan nog veel ingewikkelder :)
Ik beweer dat ik een intelligente hack een stuk knapper vind dan een brute force, ook al kun je die ook als hack uitleggen.
Verder moet je bij beveiliging kijken hoe het zit met je mogelijkheden. Hier op het forum gaat het over kleine tot middelgrote sites, dus sha1 en md5 voldoen.
En die sha1 en md5 worden in de server gebruikt. Maar als je inlogd gaat je password zelf 'naked' over het Internet. Die is 'simpel (nou ja)' te vangen.
Ik ben het er niet mee eens dat dit forum gaat over kleine tot middelgrote sites. Nog steeds hoeft een kleine of middelgrote site niet te betekenen dat deze niet goed beveiligd moet zijn. DigiD is ook een kleine tot middelgrote site, maar moet uiterst goed beveiligd zijn. Als dit forum alleen voor kleine tot middelgrote sites zou zijn, dan zou er een hoop expertise niet aanwezig zijn. Ik probeer enkel een toevoeging te geven die bijna niet bekend is onder programmeurs, maar van grote waarde kan zijn in het heden of in de toekomst. Er komt een moment dat je namelijk wél een grote site moet maken en er veel van je wordt verwacht.
Iemand die intelligent genoeg is om een bruteforce voor het md5-algoritme te kunnen opzetten is wat mij betreft trouwens al knapper dan de bedenker van het algoritme.
PHPerik:
Ik ben het er niet mee eens dat dit forum gaat over kleine tot middelgrote sites.
Dus volgens jou gaat dit forum over grote tot heel grote sites?
SanThe:
En die sha1 en md5 worden in de server gebruikt. Maar als je inlogd gaat je password zelf 'naked' over het Internet. Die is 'simpel (nou ja)' te vangen.
Hmm, da's interessant. Heb je daar een voorbeeldscript van?
Op local netwerken heb je in no-time het wachtwoord van de directeur te pakken.:-) Gewoon een simpele sniffer installeren en je ziet alles wat over het netwerk gaat langskomen.
Gewijzigd op 23/01/2006 01:15:00 door Jan Koehoorn
Jan:
Dus volgens jou gaat dit forum over grote tot heel grote sites?
PHPerik:
Ik ben het er niet mee eens dat dit forum gaat over kleine tot middelgrote sites.
Dus volgens jou gaat dit forum over grote tot heel grote sites?
Neen. Ik denk dat je dit forum niet moet indelen op de grootte van de websites van de bezoekers. Ik beheer zelf sites met tientallen bezoekers per maand, maar ook met honderden miljoenen. Als ik nu een vraag heb over een query voor zo'n grote site, dan post ik em hier ook. Het is toch niet juist om te zeggen dat dit forum draait om grote of kleine sites? Overwegend kleine sites, maar niet vanzelfsprekend kleine sites. Als er altijd vanuit wordt gegaan dat "redelijk" goed genoeg is, en "perfect" nooit nodig is, wat heeft het forum dan nog voor waarde. Perfectioneren is vaak juist waar mensen fora voor nodig hebben.
Gewijzigd op 23/01/2006 01:18:00 door PHP erik
Laat ik het anders formuleren: je oplossing met het 40 GB bestand lijkt me zeer waarschijnlijk in het geval van deze topic niet passend. Wat zou jij deze meneer aanraden?
Ik heb op mijn werk wel eens een sniffer geïnstalleerd. Het was zeer interessant wat je daarmee allemaal te zien kreeg. Okee, ik ben daar de systeembeheerder, maar ik heb daardoor wel gezien dat eigenlijk alles zichtbaar is wat over het netwerk gaat. Dat is onder andere de reden geweest dat mijn phpMyAdmin op een https server staat.
Ik had het zojuist al gemeld in het andere topic van vanavond. Maar nogmaals en nu echt: Ik ga slapen. Nog een goede discussie gewenst en tot later.
Ja eigenlijk vreemd. Voor draadloze netwerken kun je gebruik maken van 64 bits of 128-bits encryptie. Maar op een gewone LAN wordt alles onencrypted verzonden dus?
SanThe:
Ik had het zojuist al gemeld in het andere topic van vanavond. Maar nogmaals en nu echt: Ik ga slapen. Nog een goede discussie gewenst en tot later.
Ik ga je voorbeeld volgen ;-) Welterusten!
SanThe:
En die sha1 en md5 worden in de server gebruikt. Maar als je inlogd gaat je password zelf 'naked' over het Internet. Die is 'simpel (nou ja)' te vangen.
Tadaa: http://pajhome.org.uk/crypt/
Hierbij moet ik wel opmerken:
Als je geen Javascript hebt dan gaat het wachtwoord nog naakt over het net.
Gewijzigd op 23/01/2006 12:02:00 door Martijn B
Het is een hele kunst om die te kraken.
PHPerik:
Iemand die intelligent genoeg is om een bruteforce voor het md5-algoritme te kunnen opzetten is wat mij betreft trouwens al knapper dan de bedenker van het algoritme.
Niet mee eens. Probeer maar eens iets van een algoritme te bedenken waar jaren over wordt gedaan voor het gekraakt is, dus die heel moeilijk te kraken is.
Bruteforcen is niets anders dan alle mogelijkheden afgaan, daar hoef je niet heel intelligent voor te zijn. (maar een snelle computer is wel handig)
Dat de hostingruimte veilig is (switches) geloof ik wel, maar 'hackers' hebben allang door dat de zwakke kant juist de client is. Social engineering :).
Gewijzigd op 23/01/2006 12:23:00 door Arjan Kapteijn