Sziasztok! Azt szeretném kérdezni, hogy mit, hol és mire kell beállítanom ahhoz a Drupal 5-ben, hogy elfelejtett jelszó esetén ne új jelszót küldjön a rendszer e-mailben, hanem a "régit", vagyis az éppen aktuálisat.
A visszafejtés konkrétan nem magából az MD5-ből történik (azért olyat még nem találtak föl tudtommal), csak az alapján kalkulál a program. Rengeteg ilyen van a neten, ami azt csinálja, hogy bekéri a keresett jelszó MD5 kódját, aztán elkezd végigtekerni az ábécén, és minden egyes karakterkombinációnak legenerálja az MD5-jét, és összeveti a keresettel. Ha megvan, akkor leáll, ha nem találja, akkor egy karakterrel hosszabb szóval próbálkozik, és azokból generálja az MD5-öt. Ez így megy tovább egészen addig, amíg a próbajelszó és a keresett jelszó MD5-je meg nem egyezik. Primitív megoldás, és a jelszó hosszától függően nagyon sokáig, akár napokig is eltarthat, mire végez az algoritmus (bár jobb programoknál el lehet menteni az aktuális állapotot és később is lehet folytatni a számolást). Viszont hatékony.
hany betus jelszo volt, es mennyi ideig tartott megtalalni?
nincs a Drupalban egy plus "salt" (titkos szo) a hash-hez amitol ez a brute-force modszer is kizart annak aki nem ismert a titkos szot? tehat van egy titkos szoadalek ami "megbolonditja" a kodolast, vagy ez nincs Drupalban?
Több próbát is végeztem ismert jelszavak MD5-jén, ezek közül néhány eredmény:
- 4 betűs: 421 ms
- 5 betűs: 23 s 125 ms (ha jól emlékszem, kb. 9 millió próbálkozásból megvolt)
- 7 betűs: 51 min 46 s 156 ms
- 8 betűs: legalább 8-10 órát futott, de nem vártam meg végig, mert nagyon leterheli a procit (túl volt már kb. 270 milliárd próbán), és nem volt kedvem tovább tesztelgetni...
Egyébként a számolási időt lerövidítendő be lehet paraméterezni, hogy hány karakter minimum és maximum a jelszó, illetve egyes ismert betűket meg lehet adni a programnak, vagy akár egy beviteli maszkot is (pl.: usernameXXXX2006). Salt támogatás is van rajt'.
Inkább bosszúság volt, mint szórakozás... Őszintén szólva egy kicsit meglepődtem, hogy az MD5 alapján így vissza lehet következtetni a jelszóra! o_O De azért az MD5-öt is meg kell szerezni valahonnan, és reményeim szerint ezt csak adminként lehet az adatbázisból kipiszkálni. Mindenesetre most egy kicsit paranoid lettem az oldal biztonságát illetően. :(
md5
Szia!
A Drupal a jelszót az adatbázisban md5 kódolással tárolja amit nem lehet dekódolni, így nem tudja neked elküldeni.
Miért nem jó ha új jelszót kapsz?
Hosszu Kálmán
http://twitter.com/kalmanhosszu
http://www.kalman-hosszu.com/
http://premiumcmsthemes.com/
Nekem jó lenne, csak a user
Nekem jó lenne, csak a user verte ki a balhét...
Szerintem a user ne verje ki
Szerintem a user ne verje ki a balhét ha nem tudja megjegyezni a jelszavát :)
Hosszu Kálmán
http://twitter.com/kalmanhosszu
http://www.kalman-hosszu.com/
http://premiumcmsthemes.com/
10 pont! :D
-
-
clear: both;
Használjon OpenID-t.
Használjon OpenID-t.
Tárgytalan...
Tárgytalan a dolog, MD5 alapján sikerült visszafejteni.
hogy mi? visszafejteni?
erre kivancsi lennek, hogy hogyan csinaltad.
simán
http://www.google.com/search?client=safari&rls=en-us&q=md5+hash+recovery...
;)
-
clear: both;
Google
A visszafejtés konkrétan nem magából az MD5-ből történik (azért olyat még nem találtak föl tudtommal), csak az alapján kalkulál a program. Rengeteg ilyen van a neten, ami azt csinálja, hogy bekéri a keresett jelszó MD5 kódját, aztán elkezd végigtekerni az ábécén, és minden egyes karakterkombinációnak legenerálja az MD5-jét, és összeveti a keresettel. Ha megvan, akkor leáll, ha nem találja, akkor egy karakterrel hosszabb szóval próbálkozik, és azokból generálja az MD5-öt. Ez így megy tovább egészen addig, amíg a próbajelszó és a keresett jelszó MD5-je meg nem egyezik. Primitív megoldás, és a jelszó hosszától függően nagyon sokáig, akár napokig is eltarthat, mire végez az algoritmus (bár jobb programoknál el lehet menteni az aktuális állapotot és később is lehet folytatni a számolást). Viszont hatékony.
reszletek
hany betus jelszo volt, es mennyi ideig tartott megtalalni?
nincs a Drupalban egy plus "salt" (titkos szo) a hash-hez amitol ez a brute-force modszer is kizart annak aki nem ismert a titkos szot? tehat van egy titkos szoadalek ami "megbolonditja" a kodolast, vagy ez nincs Drupalban?
Több próba több cseresznye
Több próbát is végeztem ismert jelszavak MD5-jén, ezek közül néhány eredmény:
- 4 betűs: 421 ms
- 5 betűs: 23 s 125 ms (ha jól emlékszem, kb. 9 millió próbálkozásból megvolt)
- 7 betűs: 51 min 46 s 156 ms
- 8 betűs: legalább 8-10 órát futott, de nem vártam meg végig, mert nagyon leterheli a procit (túl volt már kb. 270 milliárd próbán), és nem volt kedvem tovább tesztelgetni...
Egyébként a számolási időt lerövidítendő be lehet paraméterezni, hogy hány karakter minimum és maximum a jelszó, illetve egyes ismert betűket meg lehet adni a programnak, vagy akár egy beviteli maszkot is (pl.: usernameXXXX2006). Salt támogatás is van rajt'.
eredmeny
hat ez csunya. Remelem a D7 majd leszoktat errol a szorakozasrol :)
http://drupal.org/node/29706
Inkább bosszúság...
Inkább bosszúság volt, mint szórakozás... Őszintén szólva egy kicsit meglepődtem, hogy az MD5 alapján így vissza lehet következtetni a jelszóra! o_O De azért az MD5-öt is meg kell szerezni valahonnan, és reményeim szerint ezt csak adminként lehet az adatbázisból kipiszkálni. Mindenesetre most egy kicsit paranoid lettem az oldal biztonságát illetően. :(