Strona 2 z 2
: 30 grudnia 2007, 15:45
autor: giaur
Smerf: A ja cie popieram :mrgreen: Chcesz sie zemscic, zrob inaczej - zmien haslo na inne i bedziesz je znal :mrgreen:
Na powaznie - on nie napisal wcale ze to o to chodzi, nie warto doklejac do wszystkiego jakiejs ideologii
: 30 grudnia 2007, 15:46
autor: neptunek
Jony pisze:Immortal: jeśli masz nieskończoną liczbę możliwych ciągów, które masz zhashować do ciągu skończonego to muszą istnieć grupy ciągów o takim samym hashu. Dzięki temu nie można odgadnąć hasła posiadając jego hash. Z tym że md5 niedawno zostało złamane i można w nietrudny sposób wygenerować ciąg na podstawie hasha.
Z tym
nietrudny to bym nieprzesadzal ]wiecej[/URL]
2. Kolizja
wiecej
Temat bardzo fajny na referaty
bo w praktyce to juz nie jest tak ladnie jak sie wydaje.[/code]
: 30 grudnia 2007, 15:55
autor: stepek
Ja nie dorabiam zadnej ideologii (jezeli to bylo do mnie). Poprostu sugeruje lepsze (bo szybsze) i latwiejsze rozwiazanie.
A co do sposobu znalezienia odpowiedniego hasla to juz wczesniej kilk aosob si ewypowiedialo.
: 30 grudnia 2007, 17:01
autor: Jony
@stepek: a niech program zwróci pierwsze rozwiązanie jakie wygeneruje, to nie ma znaczenia, bo i tak jeśli wpiszemy takie hasło uzyskamy dostęp, bo hashe będą się zgadzały.
@neptunek: no może nie aż tak nietrudny, ale na pewno wykonywalny.
: 31 grudnia 2007, 09:08
autor: neptunek
@Jony - teoretycznie wszystko jest wykonalne ... tylko czy cos co zajmie np 1 rok ma sens dla nas teraz?
Ja nie mowie o sytuacjach jak z serialu "24 godziny" gdzie tam klucze 512 bitowe albo i wieksze lamali w pare sekund po klepnieciu pare razy chaotycznie w klawiature
: 31 grudnia 2007, 09:50
autor: Jony
@neptunek: trochę ponad rok temu było głośno, że algorytm md5 został złamany, co oznacza, że wygenerowanie przykładowej zawartości na podstawie hasha stało się o wiele łatwiejsze. Na ile łatwiejsze nie wiem, ale na pewno na tyle, żeby zacząć obawiać się, że jakiś hakier może próbować oszukać hash
(nie mówię o takim zwykłym osiedlowym chłopaczku, który podsłuchuje gg i otwiera CD-Romy, ale sądzę, że osoba zajmująca się bezpieczeństwem już mogłaby się pokusić o taki trick)
: 02 stycznia 2008, 19:28
autor: neptunek
@Johny - wiem - slyszalem, tylko jak sam piszesz - a o czym nie pisza gazety siejace panike - wlamanie a "wlamanie" przez scriptkids (badz temu podobne) to zupelnie co innego, wiec jak cos sie udalo (bo udac sie przeciez musialo) to nie oznacza ze od razu warto to wywalic do kosza bo jest zle, slabe, skompromitowane itp itd - spokojnie mozna spac dalej - ja przynajmniej spie spokojnie a troche serwerow pod soba mam
Tak z innej beczki "ciekawie" (sit!) sie robi w sieci, ostatnio w celach edukacyjnych i pokazowych zrobilem eksperyment - serwer postawiony z Debian-net i wlaczony z publicznym IP do Internetu - w jakim czasie nastapilo skanowanie jego portow + logowanie (proba) na SSH z Chin? wg logow pelny start systemu zakonczyl sie o 13:46:01 - skanowanie portow nastapilo 13:48:45 - niesamowite co sie dzieje w sieci i jak to postepuje
: 02 stycznia 2008, 20:26
autor: Jony
@neptunek: właśnie o to chodzi, że nie do końca można spać spokojnie, bo czym innym jest udany atak na transmisję szyfrowaną asymetrycznie kodem 512bitowym, a czym innym jest złamanie algorytmu funkcji hashującej. W pierwszym przypadku aby osiągnąć cel trzeba mieć sieć kilkuset tysięcy komputerów pracujących przez kilka ładnych miesięcy. W drugim natomiast raz złamany algorytm traci swoje walory. Może zagrożenie nie jest aż tak ogromne, ale jak pisałem wcześniej - jak ktoś ma trochę samozaparcia i umiejętności(na średnim poziomie), to może przeprowadzić udaną akcję sabotażową, bądź włam do systemu. Dlatego jak sądzę w niedługim czasie sumy kontrolne będą generowane za pomocą jakiegoś innego algorytmu hashującego.
P.S.
Jony, nie Johny