MD5 database

Maak een script die alle mogelijke combinaties in je database zet :)

Dit heb ik al gedaan.
Maar dit is bijna onmogelijk.
Het lukt wel met 1 en 2 tekens.
met 3 ga ik nu proberen

Google maar eens md5 rainbow table. Ik weet wel niet in hoeverre dit is toegestaan.

Dit is geen rainbow table.
Dit is brute force

http://nl.wikipedia.org/wiki/Rainbow_table

Lol dit is dus niet brute force.

http://nl.wikipedia.org/wiki/Rainbow_table
Dit doe ik niet.
Ik haal uit een database die ik zelf beheer vertaalde codes.
Dus als hij daar niet in staat kan ik hem niet vertalen.

@Jan Erik, dit heb jij wel.. Brute force is bijvoorbeeld net zolang een loginformulier blijven invullen met verschillende wachtwoordcombinaties totdat je de goede hebt (wordt je beide niet vrolijk van).

Beveiligingstip hoe je dit tegen kan gaan..
Jouw mooie rainbow-table werkt niet wanneer iemand een 'sand' gebruikt in z'n md5-omzetter, dat doe je zo:
md5('sand' . $_POST['password']);
Daardoor krijg je nooit een hash die gelijk is aan het wachtwoord, en dus nooit gelijk is aan een door jou berekende md5. (stel je vind de hash in jouw database, als je de oorspronkelijke waarde invoert die bij jou in je db staat, word daar nog een 'sand' aan toegevoegd waardoor de uitkomst weer anders is).

Als iemand dat laatste simpeler kan vertellen mag dat natuurlijk :p

Maar
1 letter - 26 combi's
2 letters - 26 * 26 = 676 combi's
3 letters - 26 * 26 * 26 = 17576 combi's
4 letters - 26 * 26 * 26 * 26 = 456976 combi's
5 letters - 26 * 26 * 26 * 26 * 26 = 11881376 combi's
6 letters - 26 * 26 * 26 * 26 * 26 * 26 = 308915776 combi's
Wordt je database dan niet een beetje langzaam?

En dan heb ik het niet eens over de cijfers...

tot nu toe staat er alleen nog maar tot 3 tekens.
En ik gebruik 64 tekens en dan ben ik al 250.000 vertalingen.

Ik zou mensen ook afraden om gebruik te maken van bovenstaand script in verband met veiligheid. xfreaks.nl kan op deze manier html toevoegen " Al dan niet beperkt " aan de pagina waarop het staat. Ik zeg niet dat ze het doen maar het is wel mogelijk.

@Mark
htmlententies of controleren op de lengte van $zoek(strlen($zoek) > 250 => ...).

@script
Kun je niet beter Curl gebruiken omdat deze sneller is en is vaker geactiveerd(file_get_contents kan geblokkeerd worden).

@ remie

Dat snap ik maar dat wil niet zeggen dat iedereen dat doet. En er zijn zat mensen die code gewoon klakkeloos overnemen.

Op de host die ik gebruik is cURL juist gedeactiveerd en file_get_contents niet. Al had ik het liever andersom gezien want cURL is wel leuk om mee te spelen.

Al veel meer mensen hebben dit gedaan, en met meer dan 5 miljoen hashes.

http://www.md5decrypter.com/

google it!

Je zegt dat je alle 3 letter combinatie's hebt, maar bijv.
e3e48b96d966dee1b5cccdbc9d6f6d43
wat sla is kan hij niet vinden :P

Nu heb ik hem toegevoegd en doet hij het pas...

Er zijn inderdaad al veel meer mensen die doet doen, maar ik laat wel even een scriptje lopen voor random 4 letterige combinaties :)

Fix even magic quotes.
Zoek maar naar '

Cijfers, letters, Speciale tekens. Zoveel mogelijkheden, voor dat je ze allemaal hebt(Wat dus nooit mogelijk is want er kan een combi zijn van 999999999999999999999999999999999999999 letters) ben je al snel een aantal lichtjaren, ja lichtjaren, verder.

1402 tekens op een standaard computer zonder taalpakketten geinstalleerd.

1402 tot de 3e macht = 1402x1402x1402 = 2755776808

dat is dus 2.755.776.808

dus met je 250 duizend entries ben je er nog lang niet.

Ehm... een lichtjaar is een afstand... Een lichtjaar is de afstand die licht in een jaar aflegt. Sorry als je dat al wist xD

Edit:
Ik heb een script geschreven die random woorden op deze manier invoert:
Medeklinker + Klinker + Klinker + Medeklinker
Deze logische dingen heb ik tot nu toe voorbij zien komen: hoop, deux en beer
Voor de rest allemaal dikke onzin: qiix, hiuw, liod, enz....

Edit 2:
En bedankt me maar, ik heb toegekeken, afgeteld, en je over de 250.000 getrokken! Feest!!!!!!!!

Computer, en daarom zijn juist de dikke onzin woorden vaak passwords.

Je hebt gelijk, en meestal doen mensen er ook nog cijfers bij, die bij deze database niet erbij gezet worden....

Beste passwords bestaan meestal uit een paar letters, cijfers & tekens zoals !@#$%^&*()_-+=-

Oei, dan zijn mijn passwords niet de besten :|

http://www.md5decrypter.co.uk
13 biljoen hashes

Heb me ook een tijdje bezig gehouden ermee: Ik zou alles inderdaad in een mysql db stoppen, maar dan met maar 2 velden: md5 en pass, waarbij md5 de hash is, en pass het antwoord. Het md5 veld hoeft maar 8 tekens groot te zijn, als er een botsing komt kan je die gewoon even oplossen met een if/else.
Een cli versie van je toevoegscript maken, en gewoon een simpele combinatie van alle tekens (a-z en 0-9) van 1-5 of 6 ofzo

Dit zijn de simpele dingen, om het sneller te maken zou je bijvoorbeeld wat inserts op kunnen sparen (denk aan ongeveer 2000-3000 inserts per mysql_query). Wat je vooral niet moet doen is alle toegevoegde combinatie's laten echoen, dit scheelt je al gauw een paar duizend hashes/second.
Het zit hem vaak in de kleine dingetjes, maar duizend hashes/seconden extra is best huge als je hem een paar dagen laat aanstaan!
Wat geen zin heeft is random dingen toevoegden, dan doe je alleen maar dubbel werk, en je hebt totaal geen overzicht.

Als je niet genoeg ruimte hebt kan je ook wordlists gebruiken!

lol 13 biljoen en de hash van een door mij veel gebruikt wachtwoord kan die niet vinden :P

maar goed zulke dingen zijn leuk om mee bezig te zijn maar lijkt mij vrij nutteloos.
de meeste ontwikkelaars gebruiken wel sands en een hoop zullen zo langzamerhand ook wel over gestapt zijn op sha-2(512).