Ciao a tutti, esiste un programma che in locale (non ho volgia di farmelo da solo) faccia un brute force su di una stringa ottenuta con md5?
Vorrei testare il grado di affidabilità delle password che ho sul miodb locale.
Ovviamente se la cosa è lecita, ma penso di si se la si fa su di un proprio lavoro.
Sono curioso di vedere quanto impiega a trovare le pass che ho memorizzato.
Grazie, Mc
se sono alfanumeriche da almeno 8 caratteri non credo ci sia CPU in grado trovarle in meno di qualche settimana ...Originariamente inviato da mchorney
Ciao a tutti, esiste un programma che in locale (non ho volgia di farmelo da solo) faccia un brute force su di una stringa ottenuta con md5?
Vorrei testare il grado di affidabilità delle password che ho sul miodb locale.
Ovviamente se la cosa è lecita, ma penso di si se la si fa su di un proprio lavoro.
Sono curioso di vedere quanto impiega a trovare le pass che ho memorizzato.
Grazie, Mc
Non sono alfanumeriche, le ho messe così apposta, per verificare che se il programma ha un buon vocabolario ci mette poco, però avrei bisongo del programma per fare il brute force.
Ciao.
E' cosi' talmente poco probabile che l'algoritmo di MD5 e' di pubblico dominio.
http://www.faqs.org/rfcs/rfc1321.html
Il silenzio è spesso la cosa migliore. Pensa ... è gratis.
si ma supponiamo che la mia password sia MAMMA, parola sicuramente inclusa in un vocabolario, a questo punto quanto ci mette a trovarla.
Un mio prof all' università aveva un programma che provava a fare l' md5 di tutto il suo vocabolario fino a trovare la parola giusta e ci metteva poco a trovare le pass più comuni, il problema è che mi servirebbe questo programma per fare dei test ma non so dove pescarlo.
Il problema non è fare il programma che è banale ma il vocabolario.
Ciao, Mc
per ora ho un paio di bench, se e' quello che vuoi ...Originariamente inviato da mchorney
Il problema non è fare il programma che è banale ma il vocabolario.
codice:Password lengths from 3 to 12 are shown. The numbers at the top, 26 - 94, indicate the number of characters from which the passwords are formed. 26 is the number of lower case letters, 36 is letters and digits, 52 is mixed case letters, 68 is single case letters with digits, symbols and punctuation, and 94 is all the displayable ASCII characters including mixed case letters. The times shown are the times to process the entire set of passwords thus the average time to crack passwords would be one half the listed times. 26 36 52 3 0.18 seconds 0.47 seconds 1.41 seconds 4 4.57 seconds 16.8 seconds 1.22 minutes 5 1.98 minutes 10.1 minutes 1.06 hours 6 51.5 minutes 6.05 hours 13.7 days 7 22.3 hours 9.07 days 3.91 months 8 24.2 days 10.7 months 17.0 years 9 1.72 years 32.2 years 8.82 centuries 10 44.8 years 1.16 millennia 45.8 millennia 11 11.6 centuries 41.7 millennia 2,384 millennia 12 30.3 millennia 1,503 millennia 123,946 millennia 68 94 3 3.14 seconds 8.3 seconds 4 3.56 minutes 13.0 minutes 5 4.04 hours 20.4 hours 6 2.26 months 2.63 months 7 2.13 years 20.6 years 8 1.45 centuries 1.93 millennia 9 9.86 millennia 182 millennia 10 670 millennia 17,079 millennia 11 45,582 millennia 1,605,461 millennia 12 3,099,562 millennia 150,913,342 millennia
Intanto stabilisci che un pwd deve essere almeno di 6 digit, meglio 8 come ha di default linux per root. Poi stabilisci che almeno un carattere deve essere di tipo numerico e un alfanumerico maiuscolo e rendi la stringa case sensitive. Inchiappetti in un colpo solo tutto il vocabolario del tuo prof e quello di tutto l'universo.Originariamente inviato da mchorney
si ma supponiamo che la mia password sia MAMMA, parola sicuramente inclusa in un vocabolario, a questo punto quanto ci mette a trovarla.
Un mio prof all' università aveva un programma che provava a fare l' md5 di tutto il suo vocabolario fino a trovare la parola giusta e ci metteva poco a trovare le pass più comuni, il problema è che mi servirebbe questo programma per fare dei test ma non so dove pescarlo.
Il problema non è fare il programma che è banale ma il vocabolario.
Ciao, Mc
Quello che sta dietro alle quinte non deve essere divulgato e questa e' la regola 1 della sicurezza. Dai una scadenza alle pwd e obbliga lo user a sostituirla... Se gestisci un forum va bene anche "mamma" ovviamente.
Chiaro che se conosco il tipo di serratura trovare la chiave sara' piu' facile.
A proposito... lo sai che se fai un copia incolla dell'hash della pwd nel db e poi lo metti in una query vulgaris ti puoi connettere serenamente? E nel file di log sara' tutto regolare? Quindi vedo piu' pressante proteggere da accessi indesiderati, (backdoor o altro), il server e il database che non della decodifica di un hash.
Il silenzio è spesso la cosa migliore. Pensa ... è gratis.
Ho postato senza leggere prima il post di andr3a......
vedi l'ipotesi che ho fatto e che similmente adotto:
8 digit
1 numerico
1 lettera capitale
= 17 anni
Se ti interessa leggere le ricette di nonna Elia gratis puoi cominciare.
Il silenzio è spesso la cosa migliore. Pensa ... è gratis.
![L'avatar di }gu|do[z]{®©](image.php?u=17713&dateline=1210448886 "L'avatar di }gu|do[z]{®©")
per testare la sicurezza delle passowrd c'è una libreria...
http://it.php.net/manual/it/ref.crack.php
molto utile per segnalar ele pasword deboli agli utenti prima ancora che queste vengano registrate nel databse
va compilato php per avere quella libreria, ma a parte questo credo che il problema sia che in italia le password "tipo" inglesi non servono ad un granche' come check ... bisognerebbe creare un bel csv di vocabolario italiano di password tipiche, allora avrebbe ancora piu' senso checkare prima.Originariamente inviato da }gu|do[z]{®©
per testare la sicurezza delle passowrd c'è una libreria...
http://it.php.net/manual/it/ref.crack.php
molto utile per segnalar ele pasword deboli agli utenti prima ancora che queste vengano registrate nel databse
Permessi di invio
Rispondi quotando