no no nulla di vietato e ho 30 anniOriginariamente inviato da oly1982
in teoria... potresti andare per tentativi automatizzati fatti con php attraverso un ciclo... ma:
1) è cmq mooooolto difficile che riesci a risalire alla stringa originale
2) la tua domanda mi sembra molto quella di un bimbetto che cerca di fare qualcosa di 'vietato'...
voglio solo sapere se un proprietario di un ecommerce può leggere le password dei suoi clienti oppure no... tutto qua...
grazie
un hash e' il risultato di un calcolo che possiamo ipotizzare come un risultato di un algoritmo matematico. Ora pur sapendo i calcoli da fare per eseguire sempre allo stesso modo una stessa operazione ed ottenere sempre da chiunque esegua questo calcolo con gli stessi dati sempre lo stesso risultato, prerogativa questa irrinunciabile per poter utilizzare un hash da chiunque, rimane impossibile in tempi reali poter risalire ai valori originali da una stringa formata da 32 byte exadecimali cioe' 128 byte (32 x 4).Originariamente inviato da ubaldo.gulotta
e neanche se si setta una lunghezza massima ipotizzata della password non c'é verso di trovarla, giusto?
Con un brute force scorrendo cioe' una serie di stringhe fino ad ottenere come risultato una collisione che ti renda un hash identico a quello prodotto dalla stringa originale e' fattible solo se la stringa originale e' banale o troppo comune. Altro modo e' quello di memorizzare gli hash con il loro corrispondente codice di produzione. Quindi a banalita' di password risultera' una maggior facilita' di riscontro. Altro modo ancora, ma al limite del truffaldino, e' memorizzare su altra tabella le password in chiaro via via ricevute dagli utenti ma non si rispetterebbero le regole della privacy.
Infatti i tentativi di brute force oppure di ricerca su un db presumono di conoscere l'hash e questo e' prerogativa quasi esclusiva del gestore del database o di una violazione esterna. Quindi se non si conosce l'hash si dovrebbe teoricamente prendere password a caso e tentare di verificarne la funzionalita'. Cosa semplicemente folle dato i tempi di prova e di connessione e sopratutto sappiamo bene che nei siti che devono difendere qualcosa in piu' di banali ciance tipo le nostre, al max dopo tre tentativi consecutivi falliti ti bloccano l'utente.
Ora la domanda topica: ma se qualcuno puo' accedere alle tabelle e leggerne il contenuto che gliene fa di trovare la stringa che produce un hash???? Si fa un suo form (o lo carica) dove immette direttamente l'hash come valore varchar di password, si connette e saluti suonatori.
Ed ecco (anche) perche' nascono i PIN dove dopo effettuata la connessione (HTTPS) viene richiesto un valore solitamente irripetibile per effettuare l'operazione oppure una email di conferma.
Il silenzio è spesso la cosa migliore. Pensa ... è gratis.
Ma anche se facesse cosi', lui in PHP nel websrc dei quel form dovrebbe "tradurre" la password inserita dall'utente tramite md5 in corrispettivo hash! Dunque col metodo che dici tu farebbe l'hash dell'hash...e sarebbe comunque inutile? O no?Ora la domanda topica: ma se qualcuno puo' accedere alle tabelle e leggerne il contenuto che gliene fa di trovare la stringa che produce un hash???? Si fa un suo form (o lo carica) dove immette direttamente l'hash come valore varchar di password, si connette e saluti suonatori.
~Wakka~
Se ti fai un tuo form per accedere non ti serve manco la password ma ti basterebbe anche solo lo username e conoscere la struttura del db:Originariamente inviato da Wakka
Ma anche se facesse cosi', lui in PHP nel websrc dei quel form dovrebbe "tradurre" la password inserita dall'utente tramite md5 in corrispettivo hash! Dunque col metodo che dici tu farebbe l'hash dell'hash...e sarebbe comunque inutile? O no?
select * from tabella where username = 'ciccio'
con la password sarebbe
select * from tabella
where username = 'ciccio'
and password = '79054025255fb1a26e4bc422aef54eb4'
mentre il form regolare farebbe:
select * from tabella
where username = 'ciccio'
and password = MD5('ciccio_bello')
Parlo di siti in qualche modo violati dove lo script viene cambiato od un file aggiunto. Altro discorso e' quello di carte di credito, pin rubati ecc... questi sono a prescindere dalla password di connessione. Ne crei una random, utilizzi il codice fottuto ti approprii di un bene che verra' addebitato ad altri.
Il silenzio è spesso la cosa migliore. Pensa ... è gratis.
2^128Originariamente inviato da brodik
o meglio.. hai sempre quei 2^42 tentativi per poter trovarla..
e comunque, essendoci un livello di collisione teorico piuttosto elevato, non è detto (anzi è abbastanza improbabile) che che il tentativo andato a buon fine, produca effettivamente la stringa di partenza. In particolare con stringhe molto lunghe
PHP LEARN - Guide, tutorial e articoli sempre aggiornati
NUOVO: standardLib; il potente framework PHP é ora disponibile
*******************************************
Scarica oggi la tua copia di MtxEventManager
Sono d'accordissimo. E rimane sempre il fatto ultimo che per poter fare la ricerca di una collisione devi conoscere a priori l'hash che sara' pure pubblico in caso di file per verificarne la non corruzione, ma che non e' per nulla regolarmente conosciuto in caso di password, a meno che l'imbelle programmatore di turno lo vada a scrivere nel file di sessione che e' accessibile a chiunque.Originariamente inviato da mtx_maurizio
2^128
e comunque, essendoci un livello di collisione teorico piuttosto elevato, non è detto (anzi è abbastanza improbabile) che che il tentativo andato a buon fine, produca effettivamente la stringa di partenza. In particolare con stringhe molto lunghe
Il silenzio è spesso la cosa migliore. Pensa ... è gratis.
Se l'e-commerce è fatto a regola d'arte, non può.Originariamente inviato da ubaldo.gulotta
voglio solo sapere se un proprietario di un ecommerce può leggere le password dei suoi clienti oppure no... tutto qua...
grazie
Se noti sono sempre di meno i servizi che, al procedimento di recupero password, ti rimandano la password "in chiaro" via email.
Questo perché sono sempre di meno i servizi che salvano le password criptate in modo reversibile (o peggio non criptate affatto).
Perché IO, cliente del servizio, non gradisco che la mia password sia in qualche modo leggibile o recuperabile da un malintenzionato che entra nel tuo sistema, dall'amministratore del sistema stesso, o da un suo dipendente/collaboratore... non gradisco perché posso usare password comuni per più servizi, e se dovesse succedere qualche "incidente" ad un servizio più importante (email, o servizi postali/bancari) potrei avvalermi sull'inadeguato modo col quale vengono custoditi i miei dati sensibili.
Fermo restando che sarebbe arduo dimostrare un caso simile, è comunque meglio tutelarsi in tutti i modi ed eliminare i presupposti sui quali possono basarsi la maggior parte dei problemi.
Puoi fare così:Originariamente inviato da ubaldo.gulotta
Vorrei creare un pulsante che mi decripta una stringa in formato md5.
Permessi di invio
Rispondi quotando