ciao ragazzi , ho un paio di domande da porvi :
1- ma quando una password e' criptata , e la leggo su un file di testo in formato crittato , e' possibile in qualche modo decrittarla ?
2- normalmente con che cosa si apre un file .pwl ?
grazie in anticipo
Dipende... se la password è criptata con un algoritmo reversibile e conosci sia l'algoritmo che la chiave allora è possibile.1- ma quando una password e' criptata , e la leggo su un file di testo in formato crittato , e' possibile in qualche modo decrittarla ?
Se la password è criptata con un algoritmo irreversibile (devi comunque conocere l'algoritmo) allora l'unica è tentare con una attacco brute e provare con tutte le possibili password o con le password apparteneti ad un dizionario di probabili password.
dipende che ci vuoi fare. direi che se vuoi vederne il contenuto ti serve un editor esadecimale visto che il suo contenuto è binario e non ascii... solo che dubito che tu riesca a farci qualcosa.2- normalmente con che cosa si apre un file .pwl ?
Se quello che mi chiedi è come ottenere le password in chiaro dal file .pwl beh... credo che sarebbe contro le regole del forum...
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
ora ti spiego ,sto scrivendo un pezzo per la tesina della maturità che riguarda il reverse engineering.
Il mio scopo non è certo quello di sconvolgere l'umanita scoprendo l'algoritmo universale per decriptare una pass , ma sarebbe bello commentare ,se esiste , qualche tecnica che consenta di riportare allo stato primordiale una password criptata.
Per fare questo ho preso in considerazione il file sam di windows (xp) e la directory ect/passwd di linux (mandrake 9.0)ed ho analizzato i risultati criptati di alcune pass banali inserite da me.
Tutto qui , sono curioso di sapere se la password "banana" in forma criptata sia possibile trovare un modo per tornare a leggerla in chiaro.
Come ti ho detto dipende... in teoria non si dovrebbe riuscire nella pratica spesso è possibile aggirare il problema...
Esistono tanti algoritmi di crypting... ovviamente se si vuole crackare una password bisogna quantomeno conoscere l'algoritmo.
In genere il login di sistemi sufficientemente seri (ovviamente tolgo da questi win9x e relativo .pwl) la password viene memorizzata nel sistema sotto forma di hash (dettagli qui). Gli hash non sono in NESSUN MODO reversibili, dall'hash non puoi risalire alla password. Il metodo per infragere questo tipo di protezione in genere è basato sul percorre lo stesso procedimento usato dal sistema per validare una password durante la fase di login: calcolare l'hash di tutte le possibili password e verificare quando questo coincide con quello memorizzato dal sistema... Come si vede in linea di principio in questo modo è possibile scoprire qualsiasi password nella pratica dipende dalla password: c'è una bella differenza tra "pippo" e "!sf9jD(FY43rE;?:Y"
La metodologia di sopra quindi funziona solo per password deboli, cioè password contenute in un vocabolario (provo solo le parole di un dizionario), brevi o conteneti un set di caratteli limitato (es solo caratteri minuscoli o peggio solo numeri)
Nel caso di "pippo" il programma di brute forcing dovrà provare meno di 26^5=11.881.376=~12+10^6 password (considera che si riescono a provare 3-4 milioni di pass/secondo -> la trovi in 3-4 secondi)
Nel caso di "!s9jD(Y43rE;?:" ho lettere maiuscole-minuscole, numeri e segni di interpunzione per un totale di circa 95 possibili caratteri.
95^14 sono qualcosa come ~5*10^24 password che a 4 milioni di pass/sec fanno circa 40 mila miliardi di anni...
Ovviamente l'algoritmo di hashing deve essere fatto bene, il vecchio algoritmo LM usato dai sistemi nt/2000/xp per mantenere la compatibilità con win9x non è sicura a prescindere dalla complicatezza della password. Questo infatti riduce il problema a calcare una pass di max 7 caratteri che a 4mega pass/sec porta un tempo di qualche mese... ma nel 99.9% dei casi la pass non è così complicata! Inoltre esistono metodi alternativi (vedi progetto Rainbowcrack che portano il tempo a valori ridicoli)
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
leggiti anche questo:
http://forum.html.it/forum/showthrea...hreadid=578403
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
Permessi di invio
Rispondi quotando