том будет интересно почитать:
http://zortonr.livejournal.com/97129.html

Здравствуйте, Tee Moore, Вы писали:

Надо использовать salt

Здравствуйте, Tee Moore, Вы писали:

TM>том будет интересно почитать:
TM>http://zortonr.livejournal.com/97129.html

...система вносит его в хеш, предварительно зашифровав...

эксперты в области компьютерной безопасности полагали, что хеш-коды не представляют опасности, так как информация в них зашифрована

Трэш и угар

Соль осложняет, но не защищает.

Андрюша, кроме минуса есть что по делу сказать?

Здравствуйте, Tee Moore, Вы писали:

TM>том будет интересно почитать:
TM>http://zortonr.livejournal.com/97129.html

Ниасилил:

вы вводите пароль в специальную форму на сайте, система вносит его в хеш

TM>Андрюша, кроме минуса есть что по делу сказать?

Статья ни о чем, ни про че, к делу не относится. Вообще не о том думать надо. Хеши какие то в программе...
Кроме всего прочего мы не ее таргет группа

Здравствуйте, Kubyshev Andrey, Вы писали:

TM>>Андрюша, кроме минуса есть что по делу сказать?

KA>Статья ни о чем, ни про че, к делу не относится. Вообще не о том думать надо. Хеши какие то в программе...

А чего плохого в хешах в программе?

Здравствуйте, Serginio1, Вы писали:

S>Надо использовать salt

Надо использовать мозг.

Здравствуйте, Tee Moore, Вы писали:

Не стоит сравнивать пользовательские пароли и ключики в программе.
Насколько я понял тут был нифига не брутфорс, а банальный поиск в базе нагенеренных хешей.
Думаешь есть готовые базы для ключиков в 30 символов? Сомневаюсь.

KA>>Статья ни о чем, ни про че, к делу не относится. Вообще не о том думать надо. Хеши какие то в программе...
ДП>А чего плохого в хешах в программе?

А что такое "хеши в программе" ? Что б сказать плохо это или хорошо, надо бы сначала определиться что это такое и для чего.
На форуме программистов термин вообще вызывает улыбку.

Здравствуйте, icezone, Вы писали:

I>Здравствуйте, Tee Moore, Вы писали:

I>Не стоит сравнивать пользовательские пароли и ключики в программе.
I>Насколько я понял тут был нифига не брутфорс, а банальный поиск в базе нагенеренных хешей.
I>Думаешь есть готовые базы для ключиков в 30 символов? Сомневаюсь.

Если хакеру известен вид ключа, например ХХХХ-ХХХХ-ХХХХ-ХХХХ, и есть выцарапаная из программы база хешей ключей в количестве нескольких тысяч,
то разве тупым перебором невозможно подобрать ни одного ключа?
Из статьи, я так понял 90% подобрали, но там конечно не ключи а пороли, но разница, если и есть, она не принципиальная, что бы считать что такой способ не пройдет с ключами.
Что думаете коллеги?

Здравствуйте, Tee Moore, Вы писали:
TM>не ключи а пороли

Мало Вас пороли.

Здравствуйте, vks40000, Вы писали:

V>Здравствуйте, Tee Moore, Вы писали:
TM>>не ключи а пороли

V>Мало Вас пороли.

Виновен

Здравствуйте, Tee Moore, Вы писали:

TM>Если хакеру известен вид ключа, например ХХХХ-ХХХХ-ХХХХ-ХХХХ, и есть выцарапаная из программы база хешей ключей в количестве нескольких тысяч,

Если хакеру известен адреса массива хешей, то самый первый хеш патчится под результат от 1111-1111-1111-1111 и не нужно никаких переборов.

Здравствуйте, drVanо, Вы писали:
V>Если хакеру известен адреса массива хешей, то самый первый хеш патчится под результат от 1111-1111-1111-1111 и не нужно никаких переборов.

Если метод хеширования известен.

Здравствуйте, drVanо, Вы писали:

V>Здравствуйте, Tee Moore, Вы писали:

TM>>Если хакеру известен вид ключа, например ХХХХ-ХХХХ-ХХХХ-ХХХХ, и есть выцарапаная из программы база хешей ключей в количестве нескольких тысяч,

V>Если хакеру известен адреса массива хешей, то самый первый хеш патчится под результат от 1111-1111-1111-1111 и не нужно никаких переборов.

Это да, но тут вся сладость для хакера в том, что без патчей и кряков выдать на гора валидные ключи и притом скопом, а не единственный как при скардинге.

Здравствуйте, vks40000, Вы писали:

V>Здравствуйте, drVanо, Вы писали:
V>>Если хакеру известен адреса массива хешей, то самый первый хеш патчится под результат от 1111-1111-1111-1111 и не нужно никаких переборов.

V>Если метод хеширования известен.

Согласен. Так или иначе ,тут метод хеширования получается последним рубежом, отступать дальше некуда.

Здравствуйте, vks40000, Вы писали:

V>Если метод хеширования известен.

Совсем необязательно. В дебагере видно с чем сравниваются элементы массива (достаточно поставить хардварный бряк на первый элемент чтобы всплыть на операции сравнения/чтения элементов массива) — в операции сравнения как раз и будет тот самый правильный хеш.

Здравствуйте, Tee Moore, Вы писали:
V>>Если хакеру известен адреса массива хешей, то самый первый хеш патчится под результат от 1111-1111-1111-1111 и не нужно никаких переборов.
TM>Это да, но тут вся сладость для хакера в том, что без патчей и кряков выдать на гора валидные ключи и притом скопом, а не единственный как при скардинге.

А зачем, когда можно пропатчить? Из любви к искусству восстанавливать исходное сообщение по его хэш?
Вообще статья написана безграмотно и всё, что там изложено, не является секретом.
Если по теме, то тоже не секрет, что ломается или как-то обходится всё, вопрос только в цене и времени. Если продукт дорастает до состояния когда не выгодно зашивать хэш, то переходят на более устойчивую защиту и тогда стоимость взлома возрастает.

Здравствуйте, Tee Moore, Вы писали:

TM>Если хакеру известен вид ключа, например ХХХХ-ХХХХ-ХХХХ-ХХХХ, и есть выцарапаная из программы база хешей ключей в количестве нескольких тысяч,

Если есть выцарапанная база, то пропатчить обращение к этой базе гораздо проще, чем подбирать хеши.