کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن
خرید کریو خرید وی پی ان خرید VPN خرید فیلترشکن
بنابراین من در تعامل و گرفتن برخی از هش ها، اما ترک خوردن آنها بی فایده است. من معتقدم که نوع هش را می شناسم (PBKDF2-HMAC-SHA256) اما مطمئن نیستم که اندازه گرد آنها استفاده شود. این باعث می شود که من فکر می کنم این کار را انجام نمی دهد و من چیزی را از دست ندهم. از آنجا که حتی اگر بگویم شما می دانید رمز عبور متن ساده و نمک (البته یک سناریوی بسیار جسورانه)، شما هنوز هم باید هر اندازه گرد را امتحان کنید تا زمانی که شما آن مورد استفاده را پیدا کردید.
آیا این تفکر درست است یا چیزی از دست رفته؟
این سایت https://www.pentestpartners.com/security-blog/correcthorsebatterystaple-isnt-a-good-password-heres-why/ با استفاده از 4 واژه انگلیسی رایج به عنوان یک رمز عبور دیگر امن نیست.
ظاهرا 5000 واژه انگليسي در هر تركيبي از 4 كلمه مي تواند در عرض 1.5 دقيقه در 7Thash / sec شكسته شود.
مقاله الگوريتم هشيلي را ذكر نكرد اما اين نگرانكننده است.
مي توان هر كدام از اين مقاله را تأييد كرد داره میگه؟ من احساس می کنم که آنها درباره هش های مستقیم MD5 صحبت می کنند. همچنین، چه مدت برای تمام ترکیبات انگلیسی انگلیسی – نه تنها بالای 5000؟ من نمیتوانم ریاضیات را کاملا انجام دهم اما ترکیبات 8.6×10 ^ 20 را به دست آوردم .. نمی دانم چه مدت طول می کشد که در یک حد حدس بزنم؟
در دهه هشتادم، یک برنامه رمزگذاری برای برخی از فایلهای داده (اندازه 10-20K) نوشتم.
Pseudo-code:
a = password [0] | رمز عبور [1] << 8؛
b = password [2] | رمز عبور [3] << 8؛
c = password [4] | رمز عبور [5] << 8؛
d = password [6] | رمز عبور [7] << 8؛
برای (i = 0؛ i <strlen (رمزگذاری شده)؛ i ++) {
n = i و 0xff؛
رمزگشایی [i] = رمزگذاری شده [i] ^ a [n] ^ b [n] ^ c [n] ^ d [n]؛
}
پرسش من:
آیا این الگوریتم دارای ضعفی است که به من اجازه می دهد رمز عبور / رمزگشایی داده ها را بدون استفاده از نیروی بطور منظم پیدا کند (امتحان کنید تمام ترکیبات، لیست های لیست و …)
حتی می دانیم که داده های رمزگشایی چگونه شبیه هستند، بنابراین آزمایش برای موفقیت یک پازل در خود است، اما من فکر می کنم دنبال دنباله ای از کد ماشین معتبر باید ترفند را انجام دهم …)
من برخی از هش ها را با استفاده از ترکمبه اکسک گرفته ام و از فرآیند LSA منقرض شده است. هش ها در این فرم هستند (داده های زیر جعلی هستند):
adm_name: c6f132a235209036744ba5d303bd5d9b: SOME.ORGANISATION.COM: ORGANIZATION :::
سرویس های شناسایی هش در Kali هش را به عنوان شناسایی نمی کند، اما اگر هش اصلاح شود، برخی از خروجی ها را ارائه می دهد.
برای ابزار شناسه هش ورودی:
c6f132a235209036744ba5d303bd5d9b
نتایج:
هش های احتمالی:
[+] MD5
[+] مجوزهای محرمانه دامنه - MD4 (MD4 (($ pass)). (strtolower ($ username)))
برای ابزار هاشید ورودی:
adm_name: c6f132a235209036744ba5d303bd5d9b
خروجی ها:
[+] مجوزهای ذخیره شده در دامنه
[+] مدارک مجوز دامنه Cached 2
جان هش ها را فقط در گزارش ها می پذیرد:
هشدار: نوع هش "LM" را شناسایی کرد، اما رشته نیز به عنوان "NT" شناخته می شود.
از گزینه "--format = NT" استفاده کنید تا جای آن را بارگذاری کنید
هشدار: هش نوع "LM" شناسایی شده است، اما رشته نیز به عنوان "HAVAL-128-4" شناخته می شود
از گزینه "--format = HAVAL-128-4" برای جابجایی آن به عنوان آن نوع استفاده کنید
هشدار: هش نوع "LM" شناسایی شده است، اما رشته نیز به عنوان "lotus5" شناخته می شود
از گزینه "--format = lotus5" استفاده کنید تا جای آن را بارگذاری کنید
هشدار: هش نوع "LM" شناسایی شده است، اما رشته نیز به عنوان "MD2" شناخته می شود.
از گزینه "--format = MD2" استفاده کنید تا جای آن را بارگذاری کنید
هشدار: نوع هش "LM" شناسایی شده است، اما رشته نیز به عنوان "mdc2" شناخته می شود
از گزینه "--format = mdc2" استفاده کنید تا جای آن را بارگذاری کنید
هشدار: هش نوع "LM" شناسایی شده است، اما رشته نیز به عنوان "mscash" شناخته می شود
از گزینه "--format = mscash" استفاده کنید تا جای آن را بارگذاری کنید
هشدار: هش نوع "LM" شناسایی شده است، اما رشته نیز به عنوان "mscash2" شناخته می شود
از گزینه "--format = mscash2" استفاده کنید تا جای آن را بارگذاری کنید
هشدار: هش نوع "LM" شناسایی شده است، اما رشته نیز به عنوان "Raw-MD4" شناخته می شود
از گزینه "--format = Raw-MD4" استفاده کنید تا جای آن را بارگذاری کنید
هشدار: هش نوع "LM" شناسایی شده است، اما رشته نیز به عنوان "Raw-MD5" شناخته می شود
از گزینه "--format = Raw-MD5" استفاده کنید تا به جای آن آن را بارگذاری کنید
هشدار: هش نوع "LM" شناسایی شده است، اما رشته نیز به عنوان "Raw-MD5u" شناخته می شود
از گزینه "--format = Raw-MD5u" استفاده کنید تا جای آن را بارگذاری کنید
هشدار: هش نوع "LM" شناسایی شده است، اما رشته نیز به عنوان "ripemd-128" شناخته می شود.
از گزینه "--format = ripemd-128" استفاده کنید تا به جای آن آن را بارگذاری کنید
هشدار: نوع هش "LM" شناسایی شده است، اما رشته نیز به عنوان "Snefru-128" شناخته می شود.
از گزینه "--format = Snefru-128" استفاده کنید تا به جای آن آن را بارگذاری کنید
هشدار: هش نوع "LM" شناسایی شده است، اما رشته نیز به عنوان "NT-old" شناخته می شود.
از گزینه "--format = NT-old" استفاده کنید تا جای آن را بارگذاری کنید
hashcat تلاش می کند (با استفاده از پرچم -m 1000 برای نوع های هش NTLM) اگر فرمت فقط هگز (همانند مثال ورودی شناسه هشت بالا باشد، تلاش خواهد کرد. )
من آن را نمی توانم در حمله "عبور هش" استفاده کنم.
به غیر از نشان دادن نام کاربری ها، این هاشش ها در این فرم به مهاجم چیست؟ هر هدفی عالی خواهد بود!
اگر شما هش پارس چندگانه را با همان نمک ذخیره می کنید، هدف از استفاده از نمک را شکست می دهید. نمک باید برای هر یک از رمز عبور منحصر به فرد باشد، در غیر این صورت حمله کننده میتواند فقط یک بار برای هر نامزد رمز عبور H (password || salt) را محاسبه کند و هضم حاصل را در مقایسه با هر هش در پایگاه داده خود، زیرا همه آنها از همان نمک استفاده می کنند. .
همچنین، همانطور که در نظرات اشاره شده است، شما به نظر می رسد که پارامتر هزینه برای چیز دیگری گیج کننده است. "10" مشخص می کند که چه مقدار عملیات bcrypt را محاسبه می کند. مقدار بزرگتر هزینه را برای مهاجمان افزایش می دهد، زیرا این عملیات را به میزان قابل توجهی در محاسبات انجام می دهد.
اگر بخواهید رمزهای عبور تکراری را بررسی کنید، نیازی نیست که یک برنامه homebrew مانند این را داشته باشید. اگر واقعا میخواهید، می توانید رمز عبور ارائه شده را با هم تلفیق کنید و با استفاده از نمک کاربر اول، آن را هش کنید و آن را با هش ذخیره شده مقایسه کنید. اگر آن را مطابقت ندهد، همین کار را برای کاربر دوم انجام دهید و غیره. این بدان معنی است که هر گذرواژه جدید تنظیم شده، نیاز به راه رفتن را از طریق کل پایگاه داده دارد، اما رمزهای عبور را که دقیقا تکثیر هستند شناسایی میکند.
