s
привет всем . подскажите, я правильно понимаю, что если я скопирую хеш пароль с одной базы в другую, то пароли будут одинаковы у юзеров? md5
Size: a a a
2020 January 22
h🐴
привет всем . подскажите, я правильно понимаю, что если я скопирую хеш пароль с одной базы в другую, то пароли будут одинаковы у юзеров? md5
Нет, если используется соль и ты ее не знаешь.
АR
Нет, если используется соль и ты ее не знаешь.
кстати, до сих пор не понял чем помогает соль при переборе пароля
АR
это типа если украдут твою БД с хешами, то не смогут подобрать пароли ?
h🐴
это типа если украдут твою БД с хешами, то не смогут подобрать пароли ?
Не смогут подобрать их по словарю.
АR
ну так словарь тогда должен быть хешированым. верно ?
S
это типа если украдут твою БД с хешами, то не смогут подобрать пароли ?
Хеш + соль = норм защита
S
ну так словарь тогда должен быть хешированым. верно ?
В каком смысле?
S
Ты сравниваешь не два хеша, а значение и хеш
АR
Sergey
Ты сравниваешь не два хеша, а значение и хеш
скорее всего мне всё же придётся загуглить более глубже этот момент )))
потому что всё равно не ясно, когда я ввожу пароль, ведь пароль хешируется, а потом к нему же добавится соль... либо для чего она служит. (если что, не троллю. серьезно не в курсе)))
потому что всё равно не ясно, когда я ввожу пароль, ведь пароль хешируется, а потом к нему же добавится соль... либо для чего она служит. (если что, не троллю. серьезно не в курсе)))
V
это типа если украдут твою БД с хешами, то не смогут подобрать пароли ?
Да, если украдут бд и ты используешь соль, то нельзя взломать радужными таблицами.
h🐴
скорее всего мне всё же придётся загуглить более глубже этот момент )))
потому что всё равно не ясно, когда я ввожу пароль, ведь пароль хешируется, а потом к нему же добавится соль... либо для чего она служит. (если что, не троллю. серьезно не в курсе)))
потому что всё равно не ясно, когда я ввожу пароль, ведь пароль хешируется, а потом к нему же добавится соль... либо для чего она служит. (если что, не троллю. серьезно не в курсе)))
Сначала соль, потом хеш
s
if ( $u && crypt($pass, $u->password) == $u->password ) {
$class = get_called_class();
self::$user = new $class((array)$u, false);
self::$user->session_id = md5(uniqid(mt_rand(), 1));
self::$user->expires = gmdate('Y-m-d H:i:s', time() + 86400); // 1 day
$try = 0;
while( !self::$user->put() ) {
self::$user->session_id = md5(uniqid(mt_rand(), 1));
$try++;
if ( $try == 5 ) {
$called[ $user ] = false;
return false;
}
}
$_SESSION['session_id'] = self::$user->session_id;
// Save the user agent so we can verify it against future sessions,
// and remove the login attempts cache item
$cache->add('_user_session_agent_' . $_SESSION['session_id'], $_SERVER['HTTP_USER_AGENT'], 0, time() + 2592000);
$cache->delete('_user_login_attempts_' . session_id());
$called[ $user ] = true;
return true;
}V
скорее всего мне всё же придётся загуглить более глубже этот момент )))
потому что всё равно не ясно, когда я ввожу пароль, ведь пароль хешируется, а потом к нему же добавится соль... либо для чего она служит. (если что, не троллю. серьезно не в курсе)))
потому что всё равно не ясно, когда я ввожу пароль, ведь пароль хешируется, а потом к нему же добавится соль... либо для чего она служит. (если что, не троллю. серьезно не в курсе)))
Если у тебя обычный md5- для него уже вычислили много паролей и можно тупо перебрать, а каждая соль как бы меняет алгоритм шифрования, в итоге зная только соль нужно вычислять все таблицы заного, а это дело не одной тысячи лет
АR
Если у тебя обычный md5- для него уже вычислили много паролей и можно тупо перебрать, а каждая соль как бы меняет алгоритм шифрования, в итоге зная только соль нужно вычислять все таблицы заного, а это дело не одной тысячи лет
тут момент что для меня перебор паролей всегда был в стиле:
1) есть точка входа (неважно ВЕБ либо декстопное приложение)
2) брутфорсов ты из словаря кидаешь пароли (не хешированый)
3) когда будет success, запоминается успешный пароль = profit !
а получается что брутфорс перебирает УЖЕ ХЕШИРОВАННЫМИ КЛЮЧАМИ, если я правильно понимаю
1) есть точка входа (неважно ВЕБ либо декстопное приложение)
2) брутфорсов ты из словаря кидаешь пароли (не хешированый)
3) когда будет success, запоминается успешный пароль = profit !
а получается что брутфорс перебирает УЖЕ ХЕШИРОВАННЫМИ КЛЮЧАМИ, если я правильно понимаю
h🐴
тут момент что для меня перебор паролей всегда был в стиле:
1) есть точка входа (неважно ВЕБ либо декстопное приложение)
2) брутфорсов ты из словаря кидаешь пароли (не хешированый)
3) когда будет success, запоминается успешный пароль = profit !
а получается что брутфорс перебирает УЖЕ ХЕШИРОВАННЫМИ КЛЮЧАМИ, если я правильно понимаю
1) есть точка входа (неважно ВЕБ либо декстопное приложение)
2) брутфорсов ты из словаря кидаешь пароли (не хешированый)
3) когда будет success, запоминается успешный пароль = profit !
а получается что брутфорс перебирает УЖЕ ХЕШИРОВАННЫМИ КЛЮЧАМИ, если я правильно понимаю
V
тут момент что для меня перебор паролей всегда был в стиле:
1) есть точка входа (неважно ВЕБ либо декстопное приложение)
2) брутфорсов ты из словаря кидаешь пароли (не хешированый)
3) когда будет success, запоминается успешный пароль = profit !
а получается что брутфорс перебирает УЖЕ ХЕШИРОВАННЫМИ КЛЮЧАМИ, если я правильно понимаю
1) есть точка входа (неважно ВЕБ либо декстопное приложение)
2) брутфорсов ты из словаря кидаешь пароли (не хешированый)
3) когда будет success, запоминается успешный пароль = profit !
а получается что брутфорс перебирает УЖЕ ХЕШИРОВАННЫМИ КЛЮЧАМИ, если я правильно понимаю
Эта хуйня блочится на уровне приложения, тут же мера в случае если спиздят базу
АR
Эта хуйня блочится на уровне приложения, тут же мера в случае если спиздят базу
ну вот я за это и спрашивал со старту )