Новости
Документация
Download
Webboard
Поиск
FAQ/ЧаВо
Обратная связь

MySQL.RU - Webboard



Вернуться
Передача паролей (хеш) на сервер (GAMER) 24/04/2003 - 14:32:23
      Re: Передача паролей (хеш) на сервер (vi.k) 24/04/2003 - 17:33:19
      Re: Передача паролей (хеш) на сервер (walrus) 24/04/2003 - 17:43:36
      Re: Передача паролей (хеш) на сервер (GAMER) 24/04/2003 - 18:07:05


From: GAMER - 24/04/2003 - 14:32:23
Subject:Передача паролей (хеш) на сервер
-----------------
Мы тут с vi.k немного обсуждали защиту паролей при подключении к серверу. Суть в том, что если прослушать сеть, то можно получить строку от сервера, и хеш пароля, который реализован через эту строку. Зная алгоритм хеширования паролей простым перебором можно узнать набор подозрительных на пароль строк. Проработав это множество с другим набором хеш-строк, можно получить пароль.

Это цитата с переписки. Может кому будет интересно.

"Сегодня ночью попытаюсь поломать, хотя наверное не хватит
времени. Мой старенький 166-ой перебор A-Za-z размером от 1-го до 5-ти символов
делает за 1,5 часа."

Это была шутка. За 6 часов он не перебрал все возможные комбинации
даже из 6-ти символов, что уж тут говорить про 12 символов.

52 + 52^2 + 52^3 + 52^4 + 52^5 + 52^6 = 20 158 268 676 комбинаций к
примеру за 6 часов (хотя я не дождался конца и грохнул где-то в
промежутке, причём не знаю в каком)
Итого 3 359 711 446 комбинаций в час (около 1 млн. комбинаций в сек.)

для 12 символов: 398 541 261 515 392 353 540 комбинаций
118 623 657 990 часов = 13 541 513 лет

8-( Вот это я за ночь собирался сделать !?!
Вот что значит: умный в гору не пойдёт, умный гору обойдёт...
Математика для чего дана? А мы с тобой в гору прём...

Будем считать, что современные машины быстрее пусть даже в 20 раз.
Алгоритм усовершенствовать, переписать на ассемблере, придумать
что-нибудь хитрое - ещё в 10 раз.

Итого: 13 541 513 лет / 200 = 67707 лет

Сделать распределённую систему на 1000 компутеров: 67 лет

Тем у кого паранойя можно предложить менять свой пароль раз в месяц.
Тогда для его взлома понадобится сетка минимум из 812 484 компьютеров
- это чтоб успеть за месяц взломать :))))))
И это при том, что перебор был только символов A-Za-z!!! А если туда
ещё и цифры с прочими символами воткнуть 8-)))) жутко становится.

ДА УЖ!!! Я думаю теперь MySQL'ю можно доверять :)
Видишь чем хорош опенсорц - можно спать спокойно ;)

G> Чем длинее пароль, тем спокойней сон у рута. :)

Интересно послушать другие мнения.


[Это сообщение - спам!]

Последние сообщения из форума

Уважаемые посетители форума MySQL.RU!
Убедительная просьба, прежде чем задавать свой вопрос в этом форуме, обратите внимание на разделы:
- ответы на наиболее часто задаваемые вопросы - FAQ
- раздел документация
- раздел поиск по сообщениям форума и документации
Также, старайтесь наиболее подробно указывать свою ситуацию (версию операционной системы, версию MySQL, версию программного обеспечения, по которому возникает вопрос, текст возникающих ошибок, и др.)
Помните, чем конкретнее Вы опишете ситуацию, тем больше шансов получить реальную помощь.
 Имя:
 E-mail:
 Тема:
 Текст:
Код подтверждения отправки: Code
8094


РЕКЛАМА НА САЙТЕ
  Создание сайтов | |