Форум OlegON > Компьютеры и Программное обеспечение > Операционные системы и программное обеспечение

Какие пароли (и производные от них) нельзя использовать : Операционные системы и программное обеспечение

28.03.2024 14:55


21.08.2015 03:19
aldemko
 
Доброго времени суток.
Данный пост может быть и не интересен, и не познавателен.
Но я все же напишу, вдруг кому пригодиться.
Все знают что есть статистика -самых простых паролей (admin, 1234 и тому подобные)
Но есть и другие пароли, которые более сложны. но их применение не безопасно. Почему ? да потому что существует база расшифрованных хэшей.
И даже если ваш пароль к примеру
Код:
#1sSbBw1973
кажется не так уж и прост, но извлечение этого пароля из хэша, имея даже простой ПК, правильные утилиты, и пара команд, займет не более 30 минут.
Нет не потому что вычислительная мощь будет такой сильной, или "хацкер" изобрел некий алгоритм который крушит любые хэши на "калькуляторе" все дело в том, что эти пароли давно расшифрованы "супер компьютерами"- это не компьютеры в Пентагоне или еще где то, это скорее более менее мощные Пк обьедененные для одной задачи взлом хэшей.
Представляю вашему вниманию не большой список паролей, которые ни в каких обстоятельствах не стоит использовать (даже если ваш пароль отличается на 1-2 символа от приведенных, это тоже критично, так как основная часть пароля давно известна)

в приложении архив в нем текстовый документ.
Да и это список который давно не обновлялся, и получит ьего в принципе при желании может каждый, я молчу про те пароли которые лежат закрома у тех кто занимается перебором хэшей
Вложения
Тип файла: rar pass.rar (4.32 Мб, 97 просмотров)
24.08.2015 12:38
Micle
 
когда речь заходит о хеш базах паролей я всегда задаюсь вопросом: Что, прям вот все используют тупо в лоб конструкцию что я ниже привёл??? Что не хватает фантазии добавить "соли" ?
Код:
$hash = md5($pass);
Что не хватает фантазии добавить "соли" ?

Код:
$hash = md5($SALT1.$pass.$SALT2);
это самый простой способ. Если хочется чуть глубже, то есть немного для затравки.
24.08.2015 13:18
Micle
 
Ещё подробнее . Но на английском.
24.08.2015 14:26
twix
 
Цитата:
Micle когда речь заходит о хеш базах паролей я всегда задаюсь вопросом: Что, прям вот все используют тупо в лоб конструкцию что я ниже привёл??? Что не хватает фантазии добавить "соли" ?
Как давно ты в последний раз заглядывал в исходники свежих CMS и e-Commerce решений? Там порой такие конструкции для генерации хешей, что обновление между мажорными версиями без потери пользовательских паролей не возможно в принципе.

Например, вот такая конструкция в OpenCart 2.2.1:

Код:
	public function encrypt($value) {
		return strtr(base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256, hash('sha256', $this->key, true), $value, MCRYPT_MODE_ECB)), '+/=', '-_,');
	}
24.08.2015 14:35
Micle
 
Цитата:
twix Как давно ты в последний раз заглядывал в исходники свежих CMS и e-Commerce решений? Там порой такие конструкции для генерации хешей, что обновление между мажорными версиями без потери пользовательских паролей не возможно в принципе.

Например, вот такая конструкция в OpenCart 2.2.1:

Код:
	public function encrypt($value) {
		return strtr(base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256, hash('sha256', $this->key, true), $value, MCRYPT_MODE_ECB)), '+/=', '-_,');
	}
Вообще не заглядывал. Меня удивляют темы с базами хеш паролей. Про методы работы с хешами я и так знаю. кстати, раскритиковать приведённую конструкцию как 2 пальца об асфальт....
24.08.2015 15:40
twix
 
Цитата:
Micle Вообще не заглядывал. Меня удивляют темы с базами хеш паролей. Про методы работы с хешами я и так знаю. кстати, раскритиковать приведённую конструкцию как 2 пальца об асфальт....
Раскритиковать можно что угодно. Это был ответ на возмущение про соль с приведением первого попавшегося под руку куска кода.
24.08.2015 15:50
Micle
 
Цитата:
twix Раскритиковать можно что угодно. Это был ответ на возмущение про соль с приведением первого попавшегося под руку куска кода.
Сей первый "попавший под руку" код - выдало моё воображение в качестве элементарнейшего примера практически полной без полезности готовых хеш баз.
26.08.2015 09:33
aldemko
 
Цитата:
Micle когда речь заходит о хеш базах паролей я всегда задаюсь вопросом: Что, прям вот все используют тупо в лоб конструкцию что я ниже привёл??? Что не хватает фантазии добавить "соли" ?
Код:
$hash = md5($pass);
Что не хватает фантазии добавить "соли" ?

Код:
$hash = md5($SALT1.$pass.$SALT2);
это самый простой способ. Если хочется чуть глубже, то есть немного для затравки.


я вообще хотел написать про обычных пользователей, чьи пароли кодируются так как это настреоно на ресурсе, в большинстве случаев используется именно эта простая конструкция, поэтому и написал что такие пароли вообще не безопасны.
к тому же некоторые ресурсы вообще их не шифруют.
к примеру
Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 900 сообщение(ий)):
У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.
вроде бы и ресурс посещаемый, а у некоторых сотрудников пароли просто смех

суть моего поста была в том как пользователю имея то что имея не допустить доступ к его данным - или усложнить максимально
Миниатюры
Нажмите на изображение для увеличения
Название: Снимок экрана от 2015-08-26 16:28:27.png
Просмотров: 501
Размер:	223.7 Кб
ID:	4915  
26.08.2015 11:12
Micle
 
а нефиг использовать один пасс на всех ресурсах... для всяких временных регистраций у меня есть пара-тройка паролей, которые я и использую. Что касается мало мальски важных паролей будь то основная почта или работа - тут каждый пасс уникальный.
28.08.2015 17:45
aldemko
 
у меня мног опаролей где одинаковых - но они 16 и более сиволов с разными регистрами
Micle написал правильно про то как обезопасить ресурс от потенциального взлома, но twix написал то как обстоят дела в интернете в общем
Micle рассмотрел ситуацию как потенциальный администратор - и попытался солью защить свой ресурс
twix - смодулировал код, который распостранен в 90% ресурсов
Пароли от платных подписок и пр здесь пароль с солянкой - пришлось потратить 8-9 часов но все же
суть темы к тому что бы пользователи пытались заводить правильные парлльи
и Micle правильно написал -
Код:
а нефиг использовать один пасс на всех ресурсах... для всяких временных регистраций у меня есть пара-тройка паролей, которые я и использую. Что касается мало мальски важных паролей будь то основная почта или работа - тут каждый пасс уникальный.
думаю к утру будет готова новая подборка паролей которые не нужно использовать и бесплатые базы хэщей тут не причем
(PS в окошке такое бы не получилось)
Часовой пояс GMT +3, время: 14:55.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.