Ho una password e penso che sia md5 e dovrei decriptarla.
Dovrebbe essere md5, ora non so di preciso, ma è una di quelle del forum phpbb.
Esiste un sito, un tool, dove se inserisci la password presa da phpmyadmin, ti estrae la password reale?
Ho una password e penso che sia md5 e dovrei decriptarla.
Dovrebbe essere md5, ora non so di preciso, ma è una di quelle del forum phpbb.
Esiste un sito, un tool, dove se inserisci la password presa da phpmyadmin, ti estrae la password reale?
ciao,
md5 è un algoritmo non reversibile, cioè in teoria non dovrebbe essere possibile decriptare una stringa una volta convertita.
Dico in teoria perchè pare recentemente abbiano scoperto un bug nell'algoritmo che non produce degli hashes univoci, ma potrebbero anche essere le solite voci senza fondamento
purtroppo (e per fortuna) no.. md5 è a senso unico.
vale il discorso
testo -> testo criptato
ma non
testo criptato -> testo
Non sempre essere l'ultimo è un male... almeno non devi guardarti le spalle
il mio profilo su PHPClasses e il mio blog laboweb
Non è correttissimo ciò che leggo.
Con attacchi di forza bruta è ovviamente possibile ricavare la password dal suo hash MD5.
Solo che "decriptarla" non è il verbo esatto, in quanto non viene criptata perchè MD5 non è un algoritmo di cifratura, ma di firma...
La risposta è, cmq, certo che esiste un tool di forza bruta, te lo puoi fare anche tu in PHP, provando tutte le possibili combinazioni di lettere e caratteri da 1 a N simboli.
Ovvio che se la pwd era forte te lo scordi in partenza, ma se era di 3 lettere ci metterai poco.
Occhio che l'operazione ti potrebbe dare falsi positivi (collisioni).
bhè, alla fine le stringhe che puoi produrre con md5 sono solo 16^32 (sarcastico solo), puoi anche scriverti come ti è stato suggerito, uno scriptino che provi tutte le combinazioni di caratteri... ma quanti milioni di anni hai intenzione di aspettare se niente niente la password non è lunga 3 o al massimo 4 caratteri? Per quanto riguarda i falsi positivi citati... poco importa, quella è la debolezza degli algoritmi di hashing, ossia se "vattelappesca1979#3,14159" da lo stesso hash di "ciao", hai trovato una collisione e per il genere di confronto che si fa in questo caso, le due password sono perfettamente equivalenti.
<´¯)(¯`¤._)(¯`»ANDREA«´¯)(_.¤´¯)(¯`>
"The answer to your question is: welcome to tomorrow"
esiste un "decriptatore md5"ma non in php vi do il link
http://md5.rednoize.com/
Provate per vedere
non è un decriptatore, bensì una banca dati con relative stringhe->md5
ogni volta che un utente arriva e chiede l' md5 di una stringa loro lo danno e si tengono in db la relativa stringa, in modo tale che quando arriva il prossimo e inserisce il suo md5 loro sono in grado di dirti il relativo valore.
Non sempre essere l'ultimo è un male... almeno non devi guardarti le spalle
il mio profilo su PHPClasses e il mio blog laboweb
dott non è cosi
fai una prova... crea un md5 di una stringa complessa e dallo in pasto al sito.. vedi cosa ti dice
Non sempre essere l'ultimo è un male... almeno non devi guardarti le spalle
il mio profilo su PHPClasses e il mio blog laboweb
inesatto anche questo, è possibile ricavare ovviamente una collisione, poi tra le collisioni possiibli sapere quale sia la password (non collisione) non è sempre ovvio, ne sempliceOriginariamente inviato da mark2x
Con attacchi di forza bruta è ovviamente possibile ricavare la password dal suo hash MD5.
P.S. nel caso di un forum, si usa una sfida per evitare anche attacchi di forza bruta, ergo puoi trovare al massimo una collisione che non ti darà comunque accesso al db (collisione + hash(sfida) non è come pass + hash(sfida))
In generale non capisco comunque il post perchè se si ha un hash significa che si ha accesso al db (o si ha scoperto crateri nell'applicativo) ergo questo post o viene chiarito o è lievemente a rischio, inteso come leggi italiane.
Permessi di invio
Rispondi quotando
