نمایش نتایج: از شماره 1 تا 10 , از مجموع 10
  1. #1
    تاریخ عضویت
    Jan 2009
    نوشته ها
    128
    تشکر از ارسال
    25
    Thanked 6 Times in 5 Posts

    کدوم امن تره ؟ md5(md5($pass)) یا استفاده از salt

    نظر شخصی و تجربی دوستان رو می خوام بدونم
    کدوم امن تره ؟
    کد PHP:
     md5(md5($pass)) 
    یا استفاده از salt

  2. #2
    تاریخ عضویت
    Sep 2010
    نوشته ها
    1,053
    تشکر از ارسال
    497
    Thanked 405 Times in 226 Posts
    استفاده از Salt سرعت کرک رو کمتر میکنه
    اما دسترسی به سورست داشته باشن بازم میشه کرک کرد
    بهترین راه اینه که چند بار اینو هش کنی پی در پی ...
    اما بازم سورست نا امن باشه ...
    ! Security is never Complete

  3. 2کاربر از Ako0ri به علت ارسالش تشکر کردند.

    E2MA3N (02-07-2014),HO5531N (02-07-2014)

  4. #3
    تاریخ عضویت
    Jan 2009
    نوشته ها
    128
    تشکر از ارسال
    25
    Thanked 6 Times in 5 Posts
    بحث دسترسی به سورس نیست که البته اگر کسی به سورس رو سرور دسترسی داشته باشه که دیگه پسورد رو کرک نمی کنه
    بحث سر اینه که کدوم روش باعث میشه هش بدست آمده سخت تر کرک بشه تجربیات و نظرات شخصی شما رو خواهانیم

  5. #4
    تاریخ عضویت
    Nov 2012
    نوشته ها
    27
    تشکر از ارسال
    20
    Thanked 104 Times in 22 Posts
    سلام

    همون طور که دوستان اشاره کردند استفاده از سالت سرعت کرک رو پاپین میاره اما نه اون چنان که نفوذگر نتونه کرک کنه ! شما به ترتیب به الگوریتم های استفاده شده در وی بی و مای بی بی توجه کنید :

    کد:
    md5(md5($password)$salt)
    کد:
    md5(md5($salt).md5($pass))
    توی این دو الگوریتم با این که از ۲ بار md5 پشت سر هم به همراه سالت استفاده شده اما باز هم نمیشه به عنوان یک الگوریتم قوی ازشون استفاده کرد !

    به نظر من تنها کمکی که سالت می کنه اینه که جلوی جدول های رنگین کمانی رو می گیره . مخصوصا که توی این دسته از سیستم های مدیریت محتوا هر یوزر یک سالت خاص برای خودش داره ...

    ضمنا اینو خودتون هم می دونید اما حتی اگر از قوی ترین الگوریتم هم استفاده کنید اما پسوردتون یک پسورد ضعیف باشه باز هم شانس کرک برای نفوذگر به شدت بالا میره

    بحث دسترسی به سورس نیست که البته اگر کسی به سورس رو سرور دسترسی داشته باشه که دیگه پسورد رو کرک نمی کنه
    لزوما این طور که شما میگید نیست ! برای مثال بار ها دیده شده یکی از فرومی دسترسی میگیره با این که یوزر ادمین رو هم داره ( یا دسترسی های دیگه ) اما میاید از دیتابیس بک آپ می گیره و پسورد بقیه ی یوزر ها رو هم کرک می کنه ! این مورد توی این حالت خودش رو نشون میده

    اما دسترسی به سورست داشته باشن بازم میشه کرک کرد
    دقیقا اما نه برای کسی که از چنتا برنامه ی آماده ( که یک سری از الگوریتم ها به صورت پیش فرض داخلشون هست ) استفاده می کنه
    ویرایش توسط E2MA3N : 02-07-2014 در ساعت 01:20 AM

  6. 2کاربر از E2MA3N به علت ارسالش تشکر کردند.

    HO5531N (02-07-2014),PsyShaman (02-13-2014)

  7. #5
    تاریخ عضویت
    Sep 2010
    نوشته ها
    1,053
    تشکر از ارسال
    497
    Thanked 405 Times in 226 Posts
    دسترسی به سورس یعنی دسترسی به ابگوریتم
    یعنی دسترسی به فابل برای قرار دادن بک دور
    از هش های یونیکسی مثه md5 unix استفاده کن سرعت کرکش خیلی پایینه
    پسوردت هم حتما حتما بلند و با استفاده از کاراکترهای خاص باشه
    راه دیگه : خودت یه الگوریتم بنویسی
    ! Security is never Complete

  8. #6
    تاریخ عضویت
    Jan 2009
    نوشته ها
    128
    تشکر از ارسال
    25
    Thanked 6 Times in 5 Posts
    در واقع من می خواستم یک الگو برای cms خودم انتخاب کنم و الگو هایی که ازvb و mybb گذاشتین به نظرم به حد کافی امن میکنه کار رو
    البته قرار نیست کسی به هش های cms من برسه ها

  9. #7
    تاریخ عضویت
    Oct 2013
    محل سکونت
    Asgard
    نوشته ها
    4
    تشکر از ارسال
    5
    Thanked 1 Time in 1 Post
    نقل قول نوشته اصلی توسط E2MA3N نمایش پست ها
    سلام

    همون طور که دوستان اشاره کردند استفاده از سالت سرعت کرک رو پاپین میاره اما نه اون چنان که نفوذگر نتونه کرک کنه ! شما به ترتیب به الگوریتم های استفاده شده در وی بی و مای بی بی توجه کنید :

    کد:
    md5(md5($password)$salt)
    کد:
    md5(md5($salt).md5($pass))
    توی این دو الگوریتم با این که از ۲ بار md5 پشت سر هم به همراه سالت استفاده شده اما باز هم نمیشه به عنوان یک الگوریتم قوی ازشون استفاده کرد !

    به نظر من تنها کمکی که سالت می کنه اینه که جلوی جدول های رنگین کمانی رو می گیره . مخصوصا که توی این دسته از سیستم های مدیریت محتوا هر یوزر یک سالت خاص برای خودش داره ...

    ضمنا اینو خودتون هم می دونید اما حتی اگر از قوی ترین الگوریتم هم استفاده کنید اما پسوردتون یک پسورد ضعیف باشه باز هم شانس کرک برای نفوذگر به شدت بالا میره



    لزوما این طور که شما میگید نیست ! برای مثال بار ها دیده شده یکی از فرومی دسترسی میگیره با این که یوزر ادمین رو هم داره ( یا دسترسی های دیگه ) اما میاید از دیتابیس بک آپ می گیره و پسورد بقیه ی یوزر ها رو هم کرک می کنه ! این مورد توی این حالت خودش رو نشون میده



    دقیقا اما نه برای کسی که از چنتا برنامه ی آماده ( که یک سری از الگوریتم ها به صورت پیش فرض داخلشون هست ) استفاده می کنه
    در این حالت (داشتن سورس و بک آپ و ادمین ها) و دوبار ام دی5 و سالت سریعترین روش برای بدست آورد پسوردها چیه؟ مشکلیه که یکی از دوستام باهاش برخورد کرده

  10. #8
    تاریخ عضویت
    Sep 2010
    نوشته ها
    1,053
    تشکر از ارسال
    497
    Thanked 405 Times in 226 Posts
    کرک !
    با بک آپ نمیشه کاری کرد جز پیدا کردن الگوریتم و کرک کردن
    اما اگه شل داشته باشی میشه بکدور گذاشت
    ! Security is never Complete

  11. #9
    تاریخ عضویت
    Nov 2012
    نوشته ها
    27
    تشکر از ارسال
    20
    Thanked 104 Times in 22 Posts
    در این حالت (داشتن سورس و بک آپ و ادمین ها) و دوبار ام دی5 و سالت سریعترین روش برای بدست آورد پسوردها چیه؟ مشکلیه که یکی از دوستام باهاش برخورد کرده
    سلام . برنامه که زیاد هست حتی خودتون هم می تونید بنویسید اما شاید بهترین hashcat باشه

    اگر تعداد یوزر ها کم هست دستی هش و سالت رو بیرون بکشید و مثلا به فرم hash:salt ذخیره کنید و به برنامه بدید

    اما اگر تعداد یوزر ها بالا هست ابتدا از تیبلی که هش و سالت داخلش هست یک بک آپ بگیرید ( توجه داشته باشید که معمولا داخل این تیبیل اطلاعی همچون ایمیل / تاریخ عضویت / آی پی و ... هست که باید اون ها رو پاک کنید )

    تو مرحله ی بعد هم هش ها رو همراه با سالت ( مثلا با همین فرم hash:salt ) به hashcat بدید .

  12. کاربر زیر از E2MA3N به علت ارسالش ابراز تشکر کرد.

    PsyShaman (03-06-2014)

  13. #10
    تاریخ عضویت
    Apr 2005
    نوشته ها
    922
    تشکر از ارسال
    694
    Thanked 371 Times in 131 Posts
    تو بحث کرک و ... که میگید یه خاطره بگم شاید همیشه نیازی به کرک نباشه . یه روز از یکی از سرور های خاص دسترسی گرفته بودیم و دقیقا پسورد های کاربران برامون ارزش داشت نه شل و ... که همه پسورد ها هم هش شده بودن با یه سری الگوریتم خیلی قر و قاطی . ولی مشکل پورتال این بود که اگر فراموشی پسورد میزدی پسورد رو به ایمیل ارسال میکرد با یه دستور اپدیت تمام ایمیل های کاربران رو به یه ایمیل تغییر دادیم و همه رو فراموشی پسورد زدیم . در کل همیشه نیازی به کرک کردن نیست پس اگر دنبال امن کردن هستید به فکر اینجور کارها و ۱۰۰ ها کار دیگه ای که میشه انجام داد هم باشید
    و باز هم جمله معروف خودم که هدف هکر از دسترسی به اون سیستم نیاز هاش رو به هر جور دیتایی مشخص میکنه حتی ساعت ورود و خروج کاربر به سیستم !
    آب طلب نکرده، همیشه مراد نیست گاهی نشانه ایست که قربانی ات کنند... !

  14. کاربر زیر از 4shir به علت ارسالش ابراز تشکر کرد.

    PsyShaman (03-06-2014)

 

 

موضوعات مشابه

  1. String hashing within salt
    توسط Sc0rpioN در انجمن مقالات شما
    پاسخ ها: 4
    آخرين نوشته: 09-01-2009, 11:29 AM
  2. md5(md5(salt)+md5(password)) bruteforcer
    توسط sin4.c0d3r در انجمن بخش هک و سکیوریتی
    پاسخ ها: 0
    آخرين نوشته: 08-28-2009, 08:54 PM
  3. کرک نیاز به salt
    توسط hirad در انجمن بخش کاربران / سوالات مبتدی
    پاسخ ها: 16
    آخرين نوشته: 07-02-2007, 03:07 AM

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •