|
MySQL.RU - Webboard
Вернуться
Передача паролей (хеш) на сервер (GAMER) 24/04/2003 - 14:32:23
Re: Передача паролей (хеш) на сервер (vi.k) 24/04/2003 - 17:33:19
Re: Передача паролей (хеш) на сервер (walrus) 24/04/2003 - 17:43:36
Re: Передача паролей (хеш) на сервер (GAMER) 24/04/2003 - 18:07:05
From: GAMER - 24/04/2003 - 14:32:23
Subject:Передача паролей (хеш) на сервер
-----------------
Мы тут с vi.k немного обсуждали защиту паролей при подключении к серверу. Суть в том, что если прослушать сеть, то можно получить строку от сервера, и хеш пароля, который реализован через эту строку. Зная алгоритм хеширования паролей простым перебором можно узнать набор подозрительных на пароль строк. Проработав это множество с другим набором хеш-строк, можно получить пароль.
Это цитата с переписки. Может кому будет интересно.
"Сегодня ночью попытаюсь поломать, хотя наверное не хватит
времени. Мой старенький 166-ой перебор A-Za-z размером от 1-го до 5-ти символов
делает за 1,5 часа."
Это была шутка. За 6 часов он не перебрал все возможные комбинации
даже из 6-ти символов, что уж тут говорить про 12 символов.
52 + 52^2 + 52^3 + 52^4 + 52^5 + 52^6 = 20 158 268 676 комбинаций к
примеру за 6 часов (хотя я не дождался конца и грохнул где-то в
промежутке, причём не знаю в каком)
Итого 3 359 711 446 комбинаций в час (около 1 млн. комбинаций в сек.)
для 12 символов: 398 541 261 515 392 353 540 комбинаций
118 623 657 990 часов = 13 541 513 лет
8-( Вот это я за ночь собирался сделать !?!
Вот что значит: умный в гору не пойдёт, умный гору обойдёт...
Математика для чего дана? А мы с тобой в гору прём...
Будем считать, что современные машины быстрее пусть даже в 20 раз.
Алгоритм усовершенствовать, переписать на ассемблере, придумать
что-нибудь хитрое - ещё в 10 раз.
Итого: 13 541 513 лет / 200 = 67707 лет
Сделать распределённую систему на 1000 компутеров: 67 лет
Тем у кого паранойя можно предложить менять свой пароль раз в месяц.
Тогда для его взлома понадобится сетка минимум из 812 484 компьютеров
- это чтоб успеть за месяц взломать :))))))
И это при том, что перебор был только символов A-Za-z!!! А если туда
ещё и цифры с прочими символами воткнуть 8-)))) жутко становится.
ДА УЖ!!! Я думаю теперь MySQL'ю можно доверять :)
Видишь чем хорош опенсорц - можно спать спокойно ;)
G> Чем длинее пароль, тем спокойней сон у рута. :)
Интересно послушать другие мнения.
[Это сообщение - спам!]
Последние сообщения из форума
Уважаемые посетители форума MySQL.RU!
Убедительная просьба, прежде чем задавать свой вопрос в этом форуме, обратите внимание на разделы:
- ответы на наиболее часто задаваемые вопросы - FAQ
- раздел документация
- раздел поиск по сообщениям форума и документации
Также, старайтесь наиболее подробно указывать свою ситуацию (версию операционной системы, версию MySQL,
версию программного обеспечения, по которому возникает вопрос, текст возникающих ошибок, и др.)
Помните, чем конкретнее Вы опишете ситуацию, тем больше шансов получить реальную помощь.
8094
|
|