[ОТВЕТИТЬ]
21.08.2015 03:19
aldemko
 
Доброго времени суток.
Данный пост может быть и не интересен, и не познавателен.
Но я все же напишу, вдруг кому пригодиться.
Все знают что есть статистика -самых простых паролей (admin, 1234 и тому подобные)
Но есть и другие пароли, которые более сложны. но их применение не безопасно. Почему ? да потому что существует база расшифрованных хэшей.
И даже если ваш пароль к примеру
Код:
#1sSbBw1973
кажется не так уж и прост, но извлечение этого пароля из хэша, имея даже простой ПК, правильные утилиты, и пара команд, займет не более 30 минут.
Нет не потому что вычислительная мощь будет такой сильной, или "хацкер" изобрел некий алгоритм который крушит любые хэши на "калькуляторе" все дело в том, что эти пароли давно расшифрованы "супер компьютерами"- это не компьютеры в Пентагоне или еще где то, это скорее более менее мощные Пк обьедененные для одной задачи взлом хэшей.
Представляю вашему вниманию не большой список паролей, которые ни в каких обстоятельствах не стоит использовать (даже если ваш пароль отличается на 1-2 символа от приведенных, это тоже критично, так как основная часть пароля давно известна)

в приложении архив в нем текстовый документ.
Да и это список который давно не обновлялся, и получит ьего в принципе при желании может каждый, я молчу про те пароли которые лежат закрома у тех кто занимается перебором хэшей
Вложения
Тип файла: rar pass.rar (4.32 Мб, 70 просмотров)
24.08.2015 12:38
Micle
 
когда речь заходит о хеш базах паролей я всегда задаюсь вопросом: Что, прям вот все используют тупо в лоб конструкцию что я ниже привёл??? Что не хватает фантазии добавить "соли" ?
Код:
$hash = md5($pass);
Что не хватает фантазии добавить "соли" ?

Код:
$hash = md5($SALT1.$pass.$SALT2);
это самый простой способ. Если хочется чуть глубже, то вот тут есть немного для затравки.
24.08.2015 13:18
Micle
 
Ещё подробнее тут. Но на английском.
24.08.2015 14:26
twix
 
Цитата:
Micle когда речь заходит о хеш базах паролей я всегда задаюсь вопросом: Что, прям вот все используют тупо в лоб конструкцию что я ниже привёл??? Что не хватает фантазии добавить "соли" ?
Как давно ты в последний раз заглядывал в исходники свежих CMS и e-Commerce решений? Там порой такие конструкции для генерации хешей, что обновление между мажорными версиями без потери пользовательских паролей не возможно в принципе.

Например, вот такая конструкция в OpenCart 2.2.1:

Код:
	public function encrypt($value) {
		return strtr(base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256, hash('sha256', $this->key, true), $value, MCRYPT_MODE_ECB)), '+/=', '-_,');
	}
24.08.2015 14:35
Micle
 
Цитата:
twix Как давно ты в последний раз заглядывал в исходники свежих CMS и e-Commerce решений? Там порой такие конструкции для генерации хешей, что обновление между мажорными версиями без потери пользовательских паролей не возможно в принципе.

Например, вот такая конструкция в OpenCart 2.2.1:

Код:
	public function encrypt($value) {
		return strtr(base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256, hash('sha256', $this->key, true), $value, MCRYPT_MODE_ECB)), '+/=', '-_,');
	}
Вообще не заглядывал. Меня удивляют темы с базами хеш паролей. Про методы работы с хешами я и так знаю. кстати, раскритиковать приведённую конструкцию как 2 пальца об асфальт....
24.08.2015 15:40
twix
 
Цитата:
Micle Вообще не заглядывал. Меня удивляют темы с базами хеш паролей. Про методы работы с хешами я и так знаю. кстати, раскритиковать приведённую конструкцию как 2 пальца об асфальт....
Раскритиковать можно что угодно. Это был ответ на возмущение про соль с приведением первого попавшегося под руку куска кода.
24.08.2015 15:50
Micle
 
Цитата:
twix Раскритиковать можно что угодно. Это был ответ на возмущение про соль с приведением первого попавшегося под руку куска кода.
Сей первый "попавший под руку" код - выдало моё воображение в качестве элементарнейшего примера практически полной без полезности готовых хеш баз.
26.08.2015 09:33
aldemko
 
Цитата:
Micle когда речь заходит о хеш базах паролей я всегда задаюсь вопросом: Что, прям вот все используют тупо в лоб конструкцию что я ниже привёл??? Что не хватает фантазии добавить "соли" ?
Код:
$hash = md5($pass);
Что не хватает фантазии добавить "соли" ?

Код:
$hash = md5($SALT1.$pass.$SALT2);
это самый простой способ. Если хочется чуть глубже, то вот тут есть немного для затравки.


я вообще хотел написать про обычных пользователей, чьи пароли кодируются так как это настреоно на ресурсе, в большинстве случаев используется именно эта простая конструкция, поэтому и написал что такие пароли вообще не безопасны.
к тому же некоторые ресурсы вообще их не шифруют.
к примеру
Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 900 сообщение(ий)):
У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.
вроде бы и ресурс посещаемый, а у некоторых сотрудников пароли просто смех

суть моего поста была в том как пользователю имея то что имея не допустить доступ к его данным - или усложнить максимально
Миниатюры
Нажмите на изображение для увеличения
Название: Снимок экрана от 2015-08-26 16:28:27.png
Просмотров: 256
Размер:	223.7 Кб
ID:	4915  
26.08.2015 11:12
Micle
 
а нефиг использовать один пасс на всех ресурсах... для всяких временных регистраций у меня есть пара-тройка паролей, которые я и использую. Что касается мало мальски важных паролей будь то основная почта или работа - тут каждый пасс уникальный.
28.08.2015 17:45
aldemko
 
у меня мног опаролей где одинаковых - но они 16 и более сиволов с разными регистрами
Micle написал правильно про то как обезопасить ресурс от потенциального взлома, но twix написал то как обстоят дела в интернете в общем
Micle рассмотрел ситуацию как потенциальный администратор - и попытался солью защить свой ресурс
twix - смодулировал код, который распостранен в 90% ресурсов
Пароли от платных подписок и пр здесь пароль с солянкой - пришлось потратить 8-9 часов но все же
суть темы к тому что бы пользователи пытались заводить правильные парлльи
и Micle правильно написал -
Код:
а нефиг использовать один пасс на всех ресурсах... для всяких временных регистраций у меня есть пара-тройка паролей, которые я и использую. Что касается мало мальски важных паролей будь то основная почта или работа - тут каждый пасс уникальный.
думаю к утру будет готова новая подборка паролей которые не нужно использовать и бесплатые базы хэщей тут не причем
(PS в окошке такое бы не получилось)
28.08.2015 18:30
aldemko
 
PS Первые пароли с "солью"
брут по словарям + ботнет =3 часа

[hide=10]

Код:
operhot2
manager69
st9330166
practice0723
praktika2307
operhotel
20111122
news7575
torgplace111
hotel2222
cont71211
89816863522
val170811
moscow310112
to060911
oper220911
newsretail
dmdmdmdm
manager47
manager46
evgenia209
journal1726
stranger
oderysh5w9
oderysh!!
restojun25
katalogue
manager44
20100809
news110428
design030214
komissar
irakkia
xeninasaib
22112011
pr20120622
torgplace222
restvedsub
love2308
mackmack
subs290910
marina020410
hotel1111
76maria76
corn904013
avmarkov
maria101014
sub280610
redaktor
terminal
designer
oleg30311
olga1590
olgaklim!
hotels1803
[hide]

Если ваш пароль схож с этими и предыдущими меняйте
и поступите совету Micle везде разные пароли, или хотя бы,пароли от форумов, почтовика, хостинга и пр должны отличатся (а там группируйте как хотите)
Опции темы


Часовой пояс GMT +3, время: 09:29.

 

Форум сделан на основе vBulletin®
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.