Hirdetés

Keresés

Hozzászólok Aktív témák

  • dabadab

    titán

    LOGOUT blog

    válasz fene_vad #60 üzenetére

    "Mond valamit az a kifejezés, hogy hash? Vagy unique salt?"

    Mond valamit az, hogy brute force néhány ezres vagy milliós listával? Használhatsz, amit akarsz, ha a userek felének az a jelszava, hogy 1234, akkor a hasht simán lehet támadni.

    "elmondanad mi koze a kettőnek egymáshoz? botnettel dekriptálnak?"

    Kapcsold ezt össze a fentivel: nagyob listákat lehet használni. Nyilván ezek rendes titkosítás ellen nem működnek, de béna (vagy nem is olyan béna) jelszavak hashét simán lehet velük támadni.

    "a bankszámla szám kvázi publikus adat."

    Az angol bankrendszerben nem, feljebb linkeltem is a vonatkozó cikket a 49-es hsz-ben.

    [ Szerkesztve ]

    DRM is theft

  • #14595328

    törölt tag

    válasz fene_vad #60 üzenetére

    A cikkben említett estben nem tudjuk milyen titkosítást használtak. Bambanovel nem értek egyet a titkosítási részben, de abban igazat adok neki, hogy nem lett volna szabad bejutni az adatokig!

    Egy olyan oldalról van szó, ahová SQL injection segítségével jutottak be, ami szerintem egy elég nagy probléma. Ahol ilyen hibát vétenek, nincs semmi biztosíték arra, hogy pl. egy AES kulcsot nem "elérhető" helyen tartottak. Onnantól viszont valóban pár óra alatt meg lehetne akár törni a komplett adatbázist. A kulcs ismerete nélkül ez mondjuk egy izgalmas dolog lenne :)

    Elméleti lehetősége van, hogy megtörjék a titkosítást (most nem one-time padding-ról beszlek), de ehhez egy igen sz@rul felépített titkosításnak kell lennie, vagy hatalmas szerencsének. És ez is csak kb. brute-force lehetne, ami az említett botnetek segítségével is beletelne "néhány" napba. Using a Botnet to “Crack” AES Encryption Keys? Nem, nem vírusos az oldal, ahogy gabor7th megyganúsított pár napja egy openssl.org-os cím miatt... :D

    A visszaszerzett jelszavakról csak annyit, hogy fogalmam sincs bambanoék milyen formátumban tárolták a jelszavakat, de régebbi oldalakon eléggé elterjedt volt az MD5 és az SHA1 (sózás nélkül), amire elég durva online adatbázisok vannak.

    [ Szerkesztve ]

Hozzászólok Aktív témák

Hirdetés