Coderen van wachtwoord?

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Pagina: « vorige 1 2 3 volgende »

Jan Koehoorn

Jan Koehoorn

23/01/2006 00:25:00
Quote Anchor link
@ Pim: mee eens. Bij "hacken" mag je toch enige intelligentie veronderstellen. Brute-forcen komt er op neer dat je een bos met 5 miljoen sleutels hebt, die je één voor één gaat proberen.
Gewijzigd op 23/01/2006 00:26:00 door Jan Koehoorn
 
PHP hulp

PHP hulp

25/11/2024 14:25:23
 
PHP erik

PHP erik

23/01/2006 00:30:00
Quote Anchor link
Jan:
@ Pim: mee eens. Bij "hacken" mag je toch enige intelligentie veronderstellen. Brute-forcen komt er op neer dat je een bos met 5 miljoen sleutels hebt, die je één voor één gaat proberen.


Hoe kun je het eens zijn met iets wat niet waar is?

Alle algoritmes zoals md5 zijn ALGORITMES. Een algoritme kan per definitie gehackt worden. Je moet alleen de juiste berekening weten te achterhalen. Deze algoritme achterhalen kan ook bruteforce, maar dan heb je wel de echte priemgetallen en berekeningen. Maar dan nog getuigd het van grote intelligentie om dit te doen. Dus ik vind het een nogal misplaatste statement van Pim.
 
Pim Vernooij

Pim Vernooij

23/01/2006 00:35:00
Quote Anchor link
ik heb me tot op zekere hoogte verdiept in de theorie achter md5. al die priemgetallen e.d zeggen mij niets. Wel weet ik dat verschillende 'dingen' zoals ik die noemde, dezelfde hash kunnen opleveren. Wat ik me dan afvraag, is hoe deze dan gedecodeerd kunnen worden, als 1 hash meerdere waardes kan omvatten.

/edit: morgen weer vroeg op... i'm off ^^
Gewijzigd op 23/01/2006 00:36:00 door Pim Vernooij
 
PHP erik

PHP erik

23/01/2006 00:42:00
Quote Anchor link
Input % Geheime_waarde = Hash

5 % 3 = 2
8 % 3 = 2
11 % 3 = 2

Als je nu eens wist hoe vaak er "gemodulo'd" is? Dat modulo-getal is algemeen bekend; daarom kan md5() in elke programmeertaal toegepast worden. Maar die factor achterhalen is mogelijk, al zou ik (gelukkig) niet weten hoe.

1x -> 5
2x -> 8
3x -> 11

Alleen dan nog veel ingewikkelder :)
 
Jan Koehoorn

Jan Koehoorn

23/01/2006 00:43:00
Quote Anchor link
"Hoe kun je het eens zijn met iets wat niet waar is?"

Ik beweer dat ik een intelligente hack een stuk knapper vind dan een brute force, ook al kun je die ook als hack uitleggen.

Verder moet je bij beveiliging kijken hoe het zit met je mogelijkheden. Hier op het forum gaat het over kleine tot middelgrote sites, dus sha1 en md5 voldoen.
 
- SanThe -

- SanThe -

23/01/2006 00:48:00
Quote Anchor link
En die sha1 en md5 worden in de server gebruikt. Maar als je inlogd gaat je password zelf 'naked' over het Internet. Die is 'simpel (nou ja)' te vangen.
 
PHP erik

PHP erik

23/01/2006 00:50:00
Quote Anchor link
'Mogelijkheden houden op bij je eigen mentale beperkingen.'

Ik ben het er niet mee eens dat dit forum gaat over kleine tot middelgrote sites. Nog steeds hoeft een kleine of middelgrote site niet te betekenen dat deze niet goed beveiligd moet zijn. DigiD is ook een kleine tot middelgrote site, maar moet uiterst goed beveiligd zijn. Als dit forum alleen voor kleine tot middelgrote sites zou zijn, dan zou er een hoop expertise niet aanwezig zijn. Ik probeer enkel een toevoeging te geven die bijna niet bekend is onder programmeurs, maar van grote waarde kan zijn in het heden of in de toekomst. Er komt een moment dat je namelijk wél een grote site moet maken en er veel van je wordt verwacht.

Iemand die intelligent genoeg is om een bruteforce voor het md5-algoritme te kunnen opzetten is wat mij betreft trouwens al knapper dan de bedenker van het algoritme.
 
Jan Koehoorn

Jan Koehoorn

23/01/2006 01:05:00
Quote Anchor link
PHPerik:
Ik ben het er niet mee eens dat dit forum gaat over kleine tot middelgrote sites.


Dus volgens jou gaat dit forum over grote tot heel grote sites?
 
Jan Koehoorn

Jan Koehoorn

23/01/2006 01:06:00
Quote Anchor link
SanThe:
En die sha1 en md5 worden in de server gebruikt. Maar als je inlogd gaat je password zelf 'naked' over het Internet. Die is 'simpel (nou ja)' te vangen.


Hmm, da's interessant. Heb je daar een voorbeeldscript van?
 
- SanThe -

- SanThe -

23/01/2006 01:13:00
Quote Anchor link
Is ook weer niet zo heel erg eenvoudig op Internet, maar het gaat wel ongecodeerd over het Net. Daarom gebruik je, indien je het veilig wil doen, https sites.

Op local netwerken heb je in no-time het wachtwoord van de directeur te pakken.:-) Gewoon een simpele sniffer installeren en je ziet alles wat over het netwerk gaat langskomen.
 
Jan Koehoorn

Jan Koehoorn

23/01/2006 01:15:00
Quote Anchor link
Ja dat lijkt me inderdaad simpel. Van die 'sniffers' heb ik ook wel eens gehoord. Maar op je host kun je zelf geen sniffers installeren natuurlijk.
Gewijzigd op 23/01/2006 01:15:00 door Jan Koehoorn
 
PHP erik

PHP erik

23/01/2006 01:17:00
Quote Anchor link
Jan:
PHPerik:
Ik ben het er niet mee eens dat dit forum gaat over kleine tot middelgrote sites.


Dus volgens jou gaat dit forum over grote tot heel grote sites?


Neen. Ik denk dat je dit forum niet moet indelen op de grootte van de websites van de bezoekers. Ik beheer zelf sites met tientallen bezoekers per maand, maar ook met honderden miljoenen. Als ik nu een vraag heb over een query voor zo'n grote site, dan post ik em hier ook. Het is toch niet juist om te zeggen dat dit forum draait om grote of kleine sites? Overwegend kleine sites, maar niet vanzelfsprekend kleine sites. Als er altijd vanuit wordt gegaan dat "redelijk" goed genoeg is, en "perfect" nooit nodig is, wat heeft het forum dan nog voor waarde. Perfectioneren is vaak juist waar mensen fora voor nodig hebben.
Gewijzigd op 23/01/2006 01:18:00 door PHP erik
 
Jan Koehoorn

Jan Koehoorn

23/01/2006 01:21:00
Quote Anchor link
Laat ik het anders formuleren: je oplossing met het 40 GB bestand lijkt me zeer waarschijnlijk in het geval van deze topic niet passend. Wat zou jij deze meneer aanraden?
 
- SanThe -

- SanThe -

23/01/2006 01:22:00
Quote Anchor link
Ik heb op mijn werk wel eens een sniffer geïnstalleerd. Het was zeer interessant wat je daarmee allemaal te zien kreeg. Okee, ik ben daar de systeembeheerder, maar ik heb daardoor wel gezien dat eigenlijk alles zichtbaar is wat over het netwerk gaat. Dat is onder andere de reden geweest dat mijn phpMyAdmin op een https server staat.
 
- SanThe -

- SanThe -

23/01/2006 01:25:00
Quote Anchor link
Ik had het zojuist al gemeld in het andere topic van vanavond. Maar nogmaals en nu echt: Ik ga slapen. Nog een goede discussie gewenst en tot later.
 
Jan Koehoorn

Jan Koehoorn

23/01/2006 01:27:00
Quote Anchor link
Ja eigenlijk vreemd. Voor draadloze netwerken kun je gebruik maken van 64 bits of 128-bits encryptie. Maar op een gewone LAN wordt alles onencrypted verzonden dus?
 
Jan Koehoorn

Jan Koehoorn

23/01/2006 01:27:00
Quote Anchor link
SanThe:
Ik had het zojuist al gemeld in het andere topic van vanavond. Maar nogmaals en nu echt: Ik ga slapen. Nog een goede discussie gewenst en tot later.


Ik ga je voorbeeld volgen ;-) Welterusten!
 
Martijn B

Martijn B

23/01/2006 12:00:00
Quote Anchor link
SanThe:
En die sha1 en md5 worden in de server gebruikt. Maar als je inlogd gaat je password zelf 'naked' over het Internet. Die is 'simpel (nou ja)' te vangen.


Tadaa: http://pajhome.org.uk/crypt/

Hierbij moet ik wel opmerken:

Als je geen Javascript hebt dan gaat het wachtwoord nog naakt over het net.
Gewijzigd op 23/01/2006 12:02:00 door Martijn B
 
Robert Deiman

Robert Deiman

23/01/2006 12:15:00
Quote Anchor link
Tjah.. het zal altijd wel zo blijven met verschillende vormen van encryptie dat er toch een soort logica achter zit, en ze zullen allemaal te kraken zijn. Je kan het natuurlijk altijd heel moeilijk maken door meerdere vormen van encryptie acher elkaar te plakken, maar zelfs dan zit er nog een logica in.
Het is een hele kunst om die te kraken.

PHPerik:
Iemand die intelligent genoeg is om een bruteforce voor het md5-algoritme te kunnen opzetten is wat mij betreft trouwens al knapper dan de bedenker van het algoritme.


Niet mee eens. Probeer maar eens iets van een algoritme te bedenken waar jaren over wordt gedaan voor het gekraakt is, dus die heel moeilijk te kraken is.
Bruteforcen is niets anders dan alle mogelijkheden afgaan, daar hoef je niet heel intelligent voor te zijn. (maar een snelle computer is wel handig)
 
Arjan Kapteijn

Arjan Kapteijn

23/01/2006 12:20:00
Quote Anchor link
Hou er ook rekening mee dat er tussen de server en client normaal gezien (99% van de thuisgebruikers met formpjes) 0,0 encryptie ligt. Je kan dus enorme veilige serversystemen neerzetten, met 'onmogelijk' te hacken algoritmes etc etc. Maar totdat je een SSL certificaat installeerd is het allemaal kansloos.

Dat de hostingruimte veilig is (switches) geloof ik wel, maar 'hackers' hebben allang door dat de zwakke kant juist de client is. Social engineering :).
Gewijzigd op 23/01/2006 12:23:00 door Arjan Kapteijn
 

Pagina: « vorige 1 2 3 volgende »



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.