V jaké kodování ukládá DB hesla?

Napsal Aleš Jiříček;694109

takatom cracker jede na plne obratky, dokonceno 22% pokud je to heslo takove jako rikas tak ho to do par dni crackne :) a ted si vezmi ze kdybych mel k dispozici ty 3TB rainbow tables co se daj za par tisic koupit, tak uz bych ho mel protoze tam bude na 100% :)

Zkus tohle: //ocividne derave na stack overflow, ale je to citelnejsi nez cyklus function stretched_hmac($algo, $pwd, $salt, $iterations = 10000){ return hash_hmac($algo, ($iterations > 0) ?stretched_hmac($algo, $pwd, $salt, $iterations - 1) :$salt, $pwd); } echo stretched_hmac("md5", "ales", "123"); //92cead0c470c35a4580599657c64760d Vypada to jako md5, ale tutove to necracknes ani za mesic ani s tou nejlepsi rainbow tabulkou na svete. Proc? Protoze uz v druhem kroku je vstup pro hash_hmac dlouhy 32 znaku a kazda iterace pridava entropii tudiz je neni mozne preskocit (resp. ja to nedokazu, ale nekde jsem cetl, ze to jde, takze je lepsi bud bcrypt a nebo pbkdf2). Navic, ikdybys nasel zaznam v rainbow pro md5, tak ti to nijak nepomuze, protoze je to rainbow pro md5 a ne pro tenhle odvozeny algoritmus. Jinymi slovy - jedine, co najdes bude predposledni krok a muzes pokracovat dal bude ti uz zbyvat jenom 9999 kroku :) A vlastne ani to neni pravda - protoze tahle verze vyuziva hmac, ktery to jeste trosku komplikuje :) Jedina potencionalni hrozba je botnet, ale tam s tim nic moc nenadelas, kdyz nekdo ziska kontrolu nad obrovskym kvantem pocitacu a je schopny efektivne paralelizovat cely brute-force, tak ti holt nepomuze ani svecena voda (za predpokladu, ze je algoritmus znamy)

vedouci ja o tom dobre vim :) mluvim o md5 cistem hashy cisteho plaintextu :) tam proste craknes v densni dobe jakekoliv heslo pokud skutecne budes chtit proto se tu celou dobu bavime o tom to nepouzivat :) proste je pro to sakra dobry duvod

tak to pak ano, md5ky se daji crackovat jak na vlastnim gpu tak i pomoci bitcoinu. s rozumnym rozsahem znaku nebo se slovnikem se to da zvladnout i v domacich podminkach