Šta je novo?

Ukucaj password da ti kazem...

  • Začetnik teme Deleted member 9456
  • Datum pokretanja
D

Deleted member 9456

Guest
Da li je sve ovo velika prevara? Skupljamo vase email adrese i po random principu dajemo da je adresa provaljena. Koiko sam procitao passwordi od tih email adresa nisu u txt formatu.
Ko se razume neka mi objasni da li je moguce logovati se sa email adresom i passwordom koji je SHA-1 ili MD5 format ako ga prethodno ne razbijes brute force metodom
https://haveibeenpwned.com/
Zasto bi ja nekome na internetu kucao svoj password da on proveri da li je hakovan, koja naiva daj mi password da popunim svoju bazu
https://haveibeenpwned.com/Passwords
Ukucao sam qurac
Oh no — pwned!
This password has been seen 1.279 times before
 
Poslednja izmena od urednika:
Na onoj slici kad se uveca pise da su fajlovi NOHASH sto bi znacilo da je sve cist tekst, malo sam skeptican u vezi toga jer ispada da su maznuli baze sa cistim tekstom
a koliko se malo razumem znam da putuje hash a ne cist tekst a ako je nekako isao cist tekst i to tako cuvano to je ludost.
 
Ko se razume neka mi objasni da li je moguce logovati se sa email adresom i passwordom koji je SHA-1 ili MD5 format ako ga prethodno ne razbijes brute force metodom
Nisam ekspert, ali sam skoro pročitao jedan članak pa ću da pokušam da ti objasnim. Broj heš vrednosti je konačan, pa će jedan isti heš da se dobije za više različitih stringova. Pored toga, za autorizaciju je dovoljno da se heš unetog stringa poklapa sa sačuvanim hešom. Iz prethodnog sledi da ako imaš heš, i imaš tabelu heš - string, možeš i da prođeš autorizaciju. Zaštita od ovoga je da se prilikom kreiranja šifra dodatno modifikuje (salting) na sistemu svojstven način, pa onda izvrši hešovanje tako modifikovane šifre. U tom slučaju prvobitna tabela postaje beskorisna. Linuks tako štiti šifre korisnika. Trebao si to znati ;)
 
Ako je hash samo za login, tj. provera je samo if(Hash(uneti_string + salt_mozda) == stored_hash), onda je to samo zastita od logina, ali ne i zastita podataka. Jedan hash se moze dobiti od beskonacno mnogo input stringova, i, ono malo koliko razumem hashing, SHA-1 je efektivno probijen, ali ne u smislu da se moze bez brute force-a probiti input koji bi dao taj hash, vec da je moguce napraviti vise input za isti output hash, AKO se zan jedan od inputa.

Nisam jos uvek video da je moguce bez brute force-a naci input od resulting hasha :)
 
Hash tabele i sluze da bi vise razlicitih vrednosti imalo iste hash vrednosti, pa se po odredjenim parametrima rasporedjuju. Ako se hash poklopi(tj ako pretraga vrati nesto sto nije adekvatno), postoji sekundarno trazenje koje je zasebno.

Da je svaki hash(u ovom slucaju bi to bio kljuc) unikatan, to bi bio asocijativni niz.
 
Poslednja izmena:
Hvala na objasnjenjima ali ako je to tako zasto su ovi to tako cuvali na izvolte a i ovaj sto pise o tome ima proveru passworda, sta ga kosta da skuplja i posle prodaje. Koliko sam ja na search google video na nekim forumima to se uveliko prodaje za BTC, tako da ne verujem nikome pa ni ovom liku sto je pisao. @Nocniduh, nisam strucnjak za to tako da me nije interesovalo kako i sta radi linux, jedino cega se secam je da sam kod sebe video u nekom linuxu da je password cist tekst koji je bio u nekom fajlu, to se secam da sam se iznenadio kad sam tako nasumice kopao po svom linuxu. :)
 
Poslednja izmena od urednika:
Ivane, nisam siguran da su to te hash tabele ;)
Ako hash tabela poredi hash unetog stringa, i vraca neku vrednost, da, to je hash tabela, za pretragu.

Ako je samo tu da potvrdi hash, to nije hash table. Jer hash nije kljuc, user_name je kljuc.
 
Ovaj sajt je jedan od poznatijih sa poznatim covekom koji stoji iza njega. Hocu reci, jaka je referenca, prilicno je pouzdano da svoj mail i sifru ne dajes nekome levom :) .
 
Da, sajt je legitiman. Tu je na jednom mestu skupljeno ono što se može naći po DW-u i drugim kanalima. Ne treba nikog da iznenađuje loša implementacija servisa i zaštite podataka
 
Da, sajt je legitiman. Tu je na jednom mestu skupljeno ono što se može naći po DW-u i drugim kanalima. Ne treba nikog da iznenađuje loša implementacija servisa i zaštite podataka
Prosto ne mogu da verujem jer se ne radi o 100-200 mailova i passworda nego o milionima.
 
Sajt je legitimanm, iza njega stoji Troy Hunt covek koji se aktivno bavi bezbednoscu.
 
Nazad
Vrh Dno