decriptare md5

[carlo2002]

Le discussioni su MD5 mi sono sempre piaciute, però in questo caso desidererei chiedere una delucidazione su questo:

Originariamente inviato da andr3a
meglio fare cosi'

$verifica = md5(md5($_GET['id']).$secret);

poiche' se secret non è una parola alfanumerica di almeno 7 caratteri c'e' rischio di riuscire a risalire alla $secret stessa, in questo modo invece, hashi una stringa da 32, impossibile da "brute forzare"

perchè sia meglio fare così non mi è chiaro, posso avere una spiegazione da terza media ?

[}gu|do[z]{®©]

Originariamente inviato da carlo2002
Le discussioni su MD5 mi sono sempre piaciute, però in questo caso desidererei chiedere una delucidazione su questo:


perchè sia meglio fare così non mi è chiaro, posso avere una spiegazione da terza media ?

semplice

md5($parola) si può trovare con il brute forcing...

md5(md5($parola)) è più complessa (chi tenta il bruteforce deve sapere che l'md5 è applicato due volte)

$verifica = md5(md5($_GET['id']).$secret);

questa è ancora più intricata.. l'id viene criptato, e poi la stringa criptata viene concatenata ad un'altra e la risultatnte criptata ancora... per cui vale più o meno il discorso appena fatto:
se facessi solo
$verifica = md5($_GET['id'].$secret);

io che voglio forzare potrei provare a cambiare $secret sempre concatenandolo all'id (che vedo in chiaro)...

alla fine è lo stesso (più complesso.. ma stesso principio di maggiore "offuscazione") anche se fai:
$verifica = md5($_GET['id'].md5($secret));
$verifica = md5(md5($_GET['id']).md5($secret));
$verifica = md5(md5(md5($_GET['id']).md5($secret)).$secret);

etc etc

[nivasio]

no
puoi mandargli un'altra password casuale e poi eventualmente lui se la reimposta

cmq ho capito come fanno quelli di quel sito: tengono traccia delle parole che inserisci da criptare, quindi anche se metti da criptare una "non parola", cioè una password, mettiamo 34rftgederrl, poi se tu la cerchi con l'hash la puoi decriptare, praticamente è un grande archivio di parole ma anche lettere e numeri a caso

[}gu|do[z]{®©]

Originariamente inviato da nivasio
no
puoi mandargli un'altra password casuale e poi eventualmente lui se la reimposta

cioè.. tu vedi una discussione di 6 pagine (e di 2 anni fa), e rispondi al primo post? :maLOL: :maLOL: :maLOL:

[nivasio]

Originariamente inviato da piero.mac
perche' secondo te quelli lo sanno???

hanno un database con le parole piu' frequenti... ho provato un banalissimo "pippopippo" e mi risponde:

Sorry, we could not find a matching decryption.

Ma che andassero a far la cacca.... che e' meglio.

però ora lo sanno pippopippo, come dicevo sopra nella mia modifica, qualunque cosa ti cripti la inseriscon nel proprio database.

[alessiofbt]

Originariamente inviato da }gu|do[z]{®©
se la decripta a te la decripterà per sempre a tutti....


il punto è che se PRIMA metti una parola onormale, la fai criptare e poi decriptare.. funziona, perchè nel momento in cui cripta si memorizza l'associazione in un DB

se provi a criptare da un'altra parte (con php o come e dove vuoi, ma non lì) una stringa che difficilmente qualcuno ha già inserito ("xyzblabla" va benissimo penso) e poi provi a far decriptare.. al 99.9% non decripta... lo 0.1% è la probvabilità che qualcuno abbia già provato "xyzblabla"

però che presa per il c*** questo sito :rollo: ...ma ce ne saranno una ventina se non di più cosi

[}gu|do[z]{®©]

Originariamente inviato da alessiofbt
però che presa per il c*** questo sito :rollo: ...ma ce ne saranno una ventina se non di più cosi

veramente lo dicono esplicitamente che cercano corrispondenze nel db

[nivasio]

Originariamente inviato da }gu|do[z]{®©
veramente lo dicono esplicitamente che cercano corrispondenze nel db

già

[carlo2002]

Originariamente inviato da }gu|do[z]{®©
semplice

md5($parola) si può trovare con il brute forcing...

md5(md5($parola)) è più complessa (chi tenta il bruteforce deve sapere che l'md5 è applicato due volte)

$verifica = md5(md5($_GET['id']).$secret);

questa è ancora più intricata.. l'id viene criptato, e poi la stringa criptata viene concatenata ad un'altra e la risultatnte criptata ancora... per cui vale più o meno il discorso appena fatto:
se facessi solo
$verifica = md5($_GET['id'].$secret);

io che voglio forzare potrei provare a cambiare $secret sempre concatenandolo all'id (che vedo in chiaro)...

alla fine è lo stesso (più complesso.. ma stesso principio di maggiore "offuscazione") anche se fai:
$verifica = md5($_GET['id'].md5($secret));
$verifica = md5(md5($_GET['id']).md5($secret));
$verifica = md5(md5(md5($_GET['id']).md5($secret)).$secret);

etc etc

grazie, se non ci fossi tu...

[micko]

http://md5.rednoize.com/