Šifrování hesel

Petr Steel
03. led 2013 17:01 #101528
Dobrý den, uživatelé a moderátoři. Jednou se hackerovi se hravě podařilo dekódovat i silné heslo, poradil mi, abych změnil šifrování na SHA, jsem ale amatér a nevím jak, nemáte nějaký srozumitelný návod nejlépe neřekly by jste mi jak na to ?

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Bong
03. led 2013 17:11 #101530
Neřikejte.

I'm sorry, my responses are limited...you must ask the right questions.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
03. led 2013 17:17 - 03. led 2013 17:20 #101531
Obávám se že na to by jste si musel vytvořit vlastní plugin pro autentifikaci. Na druhou stranu ale proč? Někdo získal přístup k databázi, tedy k seznamu hesel? Pak máte asi úplně jiný problém než že by mohl rozšifrovat heslo. Nebo řešíte jen jakýsi teoretický problém? Pak mi řekněte kde ten hacker získá to zašifrované heslo?

Navíc jsou hesla šifrována pomocí jednosměrné funkce, MD5 s přidaným generovaným náhodným řetězcem. To že je jednosměrná, znamená, že nelze zpětně bez doplňujících údajů rozšifrovat, hacker tedy může získat jakési heslo, to ale bude fungovat jen na té konkrétní Joomle. Je to něco jako sinus(x), máte li hodnotu y, nelze dopočítat x, resp. těch x máte nekonečně mnoho.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od prontik
03. led 2013 17:17 #101532
Jste banka? Nebo spravujete nejaky web ministerstva obrany?
MD5 sice neni nic extra, ale pri dostatecne silnem hesle (velka, mala pismena prolozena cisly) je zabezpeceni myslim dostatecne.

Joomla je jako puzzle. Stačí vědět jak ty dílky k sobě poskládat.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od ghost
03. led 2013 19:00 #101537
jedna pani povidala ...
pojdme se bud bavit konkretne nad konkretnim pripadem a konkretnim problemem, nebo radeji vubec

Joomla! pro každého

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Petr Steel
03. led 2013 21:38 #101541
Jak se hacker dostal k heslům a dešifroval heslo je vedlejší to už jsem zabezpečil. Jenom jsem se slušně ptal jak změním šifrování z MD5 na SHA, jde mi o bezpečnost.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od
03. led 2013 21:52 #101543
Jak tak sleduju vaše problémy, vás někdo nemá hodně rád a vy zřejmě víte, kdo to je - kurňa, tak si na něj večer počkejte a dejte mu po čuni lešenovkou, no ne? ;)

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
03. led 2013 22:44 #101547
Z hlediska bezpečnosti je primárnízabezpečit aby se k databázi hacker nedostal. Dekódovat MD5 opravdu nelze, existují sice "dekodéry", ty ale pracují pouze s databází řetězců a jejich md5 podob. Joomla navíce hesla ukládá s náhodným řetězcem, tím je bezpečnost ještě více zvýšena. Nevím jak hacker odhalil heslo jak píšete, ale upřímně o tom pochybuji. Spíše odhalil heslo, které má stejný md5 hash jako použité heslo a to mu umožnilo přihlásit se.

Vzhledem ale k použité salt, je to heslo nepoužitelné na jiné stránky, tedy i když mají Vaši uživatelé stejé heslo např. k mailu decryptované heslo hackerovi nepomůže (na mailu samozřejmě navíc může být jiné šifrování).

Pokud by jste opravdu chtěl jiné šifrování, jak jsem psal, musel by jste si napsat svůj authentication plugin (nebo upravit jádro s tím že s aktualizací o změny můžete přijít).

V podstatě by to nemuselo být nic složitého, Joomla již podporu SHA-1 má. V podstatě by stačilo zkopírovat plugin authentication / Joomla a na řádku s voláním funkce getCryptedPassword doplnit třetí parametr 'ssha'.
Pak by jste ale ještě musel vytvořit user plugin, který by heslo se správným šifrováním ukládal.

Pozor ale na to, že pokud by jste vypl standartní MD5, nikdo ze stávajících uživatelů se nepřihlásí (ani Vy do administrace).

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od ghost
03. led 2013 23:06 #101550
proc mam pocit, ze se dva pohadali a ten ublizeny se stale snazi dokazat, jaky je king
bud jste dle me tak "hloupy" a mate trivialni heslo, nebo jej zna, nebo jste si vsechny hesla pote, co jste se ve zlem rozesli, nezmenil, pripadne ma zadni vratka

jak to jiz bylo receno, tak to, co tvrdi vas hacker, je blbost, ale stale si stojite za svym

Joomla! pro každého

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Petr Steel
04. led 2013 01:13 #101552
No tak dík za pomoc do toho vám absolutně nikomu ani jednomu nic není nemám zapotřebí poslouchat takový sračky, zkrátka dešifroval moje heslo a to mi stačí víc mě nezajímá. Díky berte to za vyřešené. Už nemám zájem o vaši pomoc.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
04. led 2013 02:11 #101554
Trochu se mírněte. Pomáhaj Vám tu všichni. Heslo Vám z MD5 nedešifroval, to prostě nelze. Pokud chcete SHA-1 popsal jsem Vám jak. Ale bezpečnost tím nezvýšíte.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od ghost
04. led 2013 07:13 #101556
steel - jste jak zaseknuty
kdyz vam tu vsichni reknou, ze md5 hash se saltem desifrovat proste nejde, tak to proste nejde
neverite-li nam, najdete si to na netu jinde, kde vam to potvrdi kazdy, kdo vi, co to md5 je

mate pravdu, nic nam do toho neni, ale vy jste zacal s problemem a my se vam snazime pomoci, byt urputne furt branite sveho hackera, ktery jako prvni na svete desifroval md5

je zvlastni, ze hacker vam radi, co mate delat
vetsina lidi se hackerum brani, resp. se snazi, aby jim na web nevlezly, ale vy jej poslouchate - zvlastni

je dost take mozne, ze si pletete pojmy, kdo je hacker, co presne znamena desifrovat, ...

prosim, predejte svemu hackerovi tento retezec:
b02adc7f7553d40af938325f244d79c0:lnsyfGjmlGzTnlYiluHKdziaiDTTMlAk
jde o standardni heslo z joomly se saltem
pro zjednoduseni jeho prace tam jsou dve normalni slova a tecka mezi nimi
rad si pockam na predvedeni jeho umeni a odhaleni puvodniho hesla (bohuzel v rainbow table to nenajde)

Joomla! pro každého

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Petr Steel
04. led 2013 10:34 #101557
Nikdo tu nemluví o brute force attacku.

KLIKNOUT ZDE

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Petr Steel
04. led 2013 10:37 #101558

steel napsal: Nikdo tu nemluví o brute force attacku.

KLIKNOUT ZDE


Stačí mu jen salt. Pře GPU vrčí cirka 4000 hesel za sekundu. Silnější heslo o 10 znacíc je cracklé do 24 hodin :D

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
04. led 2013 11:34 #101560
A jak Vám proti Brute force pomůže SHA1?

Stačí mu jen salt.

Jako že hackerovi na prolomení hesla stačí jen salt? Tak to už Vás houpe opravdu dokonale :-)

A do 10-ti hodin silnější heslo cracklé není, zkuste si to spočítat, řekněme 27 písmen abecedy + 10 číslic + cca 7 běžnějších speciálních znaků, to máte 45 znaků, při délce 10 znaků je to 45 na desátou kombinaci.
Říkáte-li 4000 hesel za sekundu, projití 45 na desátou kombinaci trvá cca 270 tisíc let.
Samozřejmě pokud se jede dle slovníku a Vaše "silné" heslo je ve slovníku (třeba i s příponou nebo předponou) může to opravdu trvat těch 24 hodin.
Poděkovali: Petr Steel

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.