|
MySQL.RU - Webboard
 Вернуться
 Передача паролей (хеш) на сервер (GAMER) 24/04/2003 - 14:32:23
 Re: Передача паролей (хеш) на сервер (vi.k) 24/04/2003 - 17:33:19
Re: Передача паролей (хеш) на сервер (walrus) 24/04/2003 - 17:43:36
Re: Передача паролей (хеш) на сервер (GAMER) 24/04/2003 - 18:07:05
> Original message text:
> From: GAMER - 24/04/2003 - 14:32:23
> Subject:Передача паролей (хеш) на сервер
> -----------------
> Мы тут с vi.k немного обсуждали защиту паролей при подключении к серверу. Суть в том, что если прослушать сеть, то можно получить строку от сервера, и хеш пароля, который реализован через эту строку. Зная алгоритм хеширования паролей простым перебором можно узнать набор подозрительных на пароль строк. Проработав это множество с другим набором хеш-строк, можно получить пароль.
>
> Это цитата с переписки. Может кому будет интересно.
>
> "Сегодня ночью попытаюсь поломать, хотя наверное не хватит
> времени. Мой старенький 166-ой перебор A-Za-z размером от 1-го до 5-ти символов
> делает за 1,5 часа."
>
> Это была шутка. За 6 часов он не перебрал все возможные комбинации
> даже из 6-ти символов, что уж тут говорить про 12 символов.
>
> 52 + 52^2 + 52^3 + 52^4 + 52^5 + 52^6 = 20 158 268 676 комбинаций к
> примеру за 6 часов (хотя я не дождался конца и грохнул где-то в
> промежутке, причём не знаю в каком)
> Итого 3 359 711 446 комбинаций в час (около 1 млн. комбинаций в сек.)
>
> для 12 символов: 398 541 261 515 392 353 540 комбинаций
> 118 623 657 990 часов = 13 541 513 лет
>
> 8-( Вот это я за ночь собирался сделать !?!
> Вот что значит: умный в гору не пойдёт, умный гору обойдёт...
> Математика для чего дана? А мы с тобой в гору прём...
>
> Будем считать, что современные машины быстрее пусть даже в 20 раз.
> Алгоритм усовершенствовать, переписать на ассемблере, придумать
> что-нибудь хитрое - ещё в 10 раз.
>
> Итого: 13 541 513 лет / 200 = 67707 лет
>
> Сделать распределённую систему на 1000 компутеров: 67 лет
>
> Тем у кого паранойя можно предложить менять свой пароль раз в месяц.
> Тогда для его взлома понадобится сетка минимум из 812 484 компьютеров
> - это чтоб успеть за месяц взломать :))))))
> И это при том, что перебор был только символов A-Za-z!!! А если туда
> ещё и цифры с прочими символами воткнуть 8-)))) жутко становится.
>
> ДА УЖ!!! Я думаю теперь MySQL'ю можно доверять :)
> Видишь чем хорош опенсорц - можно спать спокойно ;)
>
> G> Чем длинее пароль, тем спокойней сон у рута. :)
>
> Интересно послушать другие мнения.
>
From: GAMER - 24/04/2003 - 18:07:05
Subject:Передача паролей (хеш) на сервер
-----------------
2)А Хэш тем и отличается от шифрования, что он не дает однозначного соответсвия пароль - хэш. То есть несколько паролей могут иметь один и тот же хеш. Это значит - чило попэток еще сокращается.
Я не понял почему число попыток сокращается? Ведь при других комбинациях другой пароль уже не подойдет. Несколько паролей могут иметь один и тот же хеш только при одинаковой строки от сервера. При других строках, они будут иметь разные хеши.
3) нет необходимости подбирать пароль полность. Надо лишь подкрутить клиентскую бибку, чтобы он посылал не хеш того пароля, что вы ввели, а тот имя/хеш который вы подслушали.
Опять не подойдет. а) надо иметь доступ до клиентской бибки
б) хеш строится на основании случайной строки от сервера, по этому следующий раз не пойдет.
[Это сообщение - спам!]
Последние сообщения из форума
Уважаемые посетители форума MySQL.RU!
Убедительная просьба, прежде чем задавать свой вопрос в этом форуме, обратите внимание на разделы:
- ответы на наиболее часто задаваемые вопросы - FAQ
- раздел документация
- раздел поиск по сообщениям форума и документации
Также, старайтесь наиболее подробно указывать свою ситуацию (версию операционной системы, версию MySQL,
версию программного обеспечения, по которому возникает вопрос, текст возникающих ошибок, и др.)
Помните, чем конкретнее Вы опишете ситуацию, тем больше шансов получить реальную помощь.
8094
|
|
