Mājas lapu drošības eksperiments

[root]

Pašlaik vācu materiālus vienam jaukam eksperimentam un tā kā šeit apgrozās daudz web lapu īpašnieku, vēlētos lūgt arī Jūsu dalību šajā eksperimentā.

Kas nepieciešams- mājas lapa ar vairāk kā 500 reģistrētiem lietotājiem, kuru paroles glabājas md5/sha1/sha256/sha384/sha512 hash formā ar statiskiem, dinamiskiem vai vispār bez salt.

Ko darīt – atsūtīt man uz e-pastu info[uz]lit.lv sapakotu hashu kopiju, jeb TIKAI un VIENĪGI paroļu hash un ja ir salt- arī salt un tā ievietošanas kārtību paroles hashā (piemēram, skriptu PHP vai citā valodā, kas veido salt un ievieto to parolē pirms hash izveides, nepieciešams paroļu izveides emulācijai).

Tātad- tikai un vienīgi hash (un salt procedūras) uz mailu info[uz]lit.lv . Iesūtīt var arī CMS veidotas paroles ar norādi uz izmantoto CMS utt.

Ko es ar to visu pasākšu- veikšu eksperimentu, kurā pārbaudīšu cik tad droši glabājas jūsu mājas lapu paroles un beigās taps pamatīgs raksts blogā un ja būs atsaucība, arī šeit.

Par paroļu hash nodošanu man- hashi tiks izmantoti tikai eksperimenta veikšanai un pēc eksperimenta beigām tiks iznīcināti. Garantēt to es diemžēl varu tikai ar savu vārdu, ja neuzticies- nesūti. Varat iesūtīt ar ierakstu anonīmi, savukārt ja gribat mazliet publicitātes- pierakstiet, lai norādu, ka esat piedalījies eksperimentā un cik lielā drošībā ir jūsu lapas paroles.

[Aldis]

Ko Tu tur centīsies dekodēt?

Un tos hashus Tev vnk. txt failaa izdziit laukaa, katrs hash savaa rindinjaa? 😀 Nu tad jau varu iedot :] Niki gan neparadisies.

[samurajs]

Tūlīt Notepad db nosūtīšu…[img]https://bildites.lv/images/ozcl7qoavewy8a83j5w.gif[/img]

[aoma]

Vēl neesi saņēmis telegrammu: ”esmu laimīgi galā, ar sveicieniem tavs jumts”? 😀

[root]

Aldi, tieši tā – tikai hash, smuki katru savā rindiņā. Nekādus nikus, neko citu man nevajag.

Tas viss ir tāpēc lai maksimāli pietuvinātu eksperimenta norisi realitātei un uzzinātu kāds rezultāts būs pie dažādām sistēmām utt utjp. Gari un plaši pašlaik nevēlos skaidrot lai nesabojātu gala rezultāta ogu 🙂

Samurajs un aoma- cienītie, nu ja nav sajēgas, kas tas ir, kam tas domāts un ko ar to darīt – nu nelienat. 🙂

[Element]

Suutu…. Gaidi….

[Wuu]

[img]https://www.failpost.com/wp-content/uploads/HLIC/c11cbe6c3b81ec22d498c8784d76e86d.gif[/img]

[img]https://www.failpost.com/wp-content/uploads/HLIC/1231d33979f757ca3649a1c2fe0cfc7e.gif[/img]

[root]

🙂 Pašlaik iesūtīti jau 82 347 hashi + no paša resursiem esmu nodumpojis kādus 150 000. Pārējie var sūtīt līdz pirmdienas rītam, kad testēšu uz bulletproof. Otrdien būs raksts.

[daGrevis]

Intereses pēc…

Zināms, ka tas ir SHA-1 un tas, ka ir izmantota “sāls”. neko vairāk dzīves situācijā diez vai uzzināsi! 😀

c4c49dbdf022566455968c4a01e7c26ae9ff79f2

[root]

Dzīves situācijā pie manis būtu arī tavas lapas source dumps ar visām sālīm un veidu, kā tu to sāli pievieno :>

Beidz sapņot :>

[Crow]

Rūta atkal lielo webmāsteru tēlo, “skats no malas”, kurā piedalījās Misters Haids, plašāk mums pazīstams arī kā Ēriks, jau laikam būs aizmirsies 😀

Ja kāds ir ticis līdz hešiem (DB dump), tad lietotāju paroļu iegūšanai jēga jau ir stipri maza. Citādi vienīgā kriptanalīze, ko mājas apstākļos var reāli paveikt, ir dictionary attack. Kolīzijas atrast – praktiski nereāli. Ar rupju spēku vispār nav ko mēģināt.

Protams, kā sacījis bēdīgi slavenais betonpiere, “smeldz sirds”, ka daži lielie speci vēl MD5 lieto, piedevām pat nepieberot sāli. Jo kriptosistēma ir tik stipra, cik stiprs ir tās vājākais posms. Jāparedz viss.

Ok… tā sacīt, nav mana kaza. Svīsti vien, ja nav nekā labāka, ko darīt 😀

#258106

[root]

Jau atkal sāku nožēlot, ka kaut ko iepostēju šajā IT dievu aizmirstajā nomalē… Laikam jāļauj pūt preses relīžu un tizlāko gadžetu apskatu jūrā. 🙂

Starp citu, Crow, tu kļūdies. Itin visā. 🙂 Domāju, kādreiz varētu iekāpt pie manis ofisā, tur pat arī Ēriku sazvanītu, un visi trīs pieklājīgi pasēdētu pie kafijas tases un apspriestu visu šito. 🙂 Uzraksti PM, for further details.

[Crow]

Tu nepļ:mod:i man te, bet meklē plaintext’u manis dotajam hash. Tas ir vieglāk par vieglu, vairāk atjautības uzdevums.

Citādi – forumi ir tam domāti, lai tu pierādītu te savu taisnību publikas priekšā, ar faktiem, argumentiem, piemēriem. Citādi tu esi automātiski zaudējis, lai arī IRL katru dienu mājai stenderes un jumts jālabo no tā, ka puiškānam krāns par garu. Uzaicini arī Ēriku un spēlē ar krānu biljardu. Vai virpā liec un veic vaksāciju pēc “brute force” metodes. 😀

[root]

Nožēlojami… Pierādīt, ka Eriks nav reāla persona tu nevari, uz kafiju nenāc, pieprasi man meklēt plainu kaut kādiem mistiskiem hashiem, kurus es te nevienam neesmu prasījis un vēl dzen kaut kādas zosis par krāniem? 🙂

[Crow]

Uzskati to hašu par manis iesūtīto tavam “eksperimentam”, hreņman vēl tev tur ēpastu sūtīt. Nekā mistiska tur nav. Reāli es savos “eksperimentos” tiku pielietojis Skein, bet kompilētu no 1.0 sources. Š is hešs ir versijas 1.3, jo man slinkums tagad instalēt serveri un vēl bakstīties ar PHP papildinājuma kompilēšanu, ar VC++ tās ir diezgan lielas sāpes pakaļā.

Keep trollin’, trollin’, trollin’ :lala:

[daGrevis]

Crow wrote:

Keep trollin’, trollin’, trollin’ :lala:

Es jau neko, bet patiesām stulbi sanāk, Matīss… 😀

[daGrevis]

Vismaz Manu vari atkodēt? …ja nav pa spēkam Crow’a.

[root]

Topiku slēdzam… Ar šejieniešiem viss skaidrs. Diemžēl.

[Crow]

[img]https://www.bildites.lv/images/ybgo3mtxjxb264zgas.png[/img]

[root]

https://lleo.aha.ru/na/

[Autors]

Ieraksti