Hakerima su potrebne sekunde da vam probiju lozinku, ali postoji caka

MD5 nije hashing softver, nego je hash algoritam.
Hakeri ne updataju na "server" web stranice da bi ukrali MD5 hash, nego se to cuva u bazi podataka.

Kada cete vise prestati da pisete gluposti i da ljudima plasirate totalno pogresne informacije?
Novinaru koji je pisao ovo: Ako nemas sta drugo da pises, daj brate otkaz, nisi za taj posao. Nije to nista strasno.

Ne znam, nisam bas strucnjak ali radim u IT. Da, potrebno je manje vremena, ali samo ako je haker vec dobio pristup ili ima neku oflajn kopiju. Jer ako pokusava onlajn, posle svakog neuspesnog pokusaja Windows se "zaglavi" na 20 sekundi... nekad i vise. Znaci nije o tome koiko lagoritam moze brzo da krekuje, ali mora da ima skinut "hash", jer ako bi pokusavao onlajn trajalo bi milenijum. Zavisi na politici. na primer, vecina firmi ima politiku da se nalog zakljuca posle 3 neuspesne lozinke. Kraj price. Znaci da bi to sto traje 5 sati stvarno radilo, on mora da je vec imao pristup na vas racunar i skinuo hasovane lozinke. A to je vec druga prica.

caka je par decenija robije kad ih nahvataju...
Da ne pričamo o dark veb dilerima - kad rosa ulbrihta lik pita na tviteru "hows the road doing", posle koristio mejl sa svojim imenom....
Najbolji su ovi sa skajem - sve išlo preko policijskih servera...
Da ne pričamo o Toru gde je trećina "zatrovanih" nodova.. VPN-ovi koji snimaju sav saobraćaj a kobajagi nemaju logove i sl...nije sve u enkripciji - ima nešto ili nema i u glavi....

"a primer, ako unesete riječ "password" u jedan često korišćeni softver za hashing, nazvan MD5, dobićete sledeći niz znakova: "5f4dcc3b5aa765d61d8327deb882cf99". Ideja je da, ako hakeri uđu na server veb stranice kako bi pronašli spisak uskladištenih lozinki, mogu da vide samo niz nepovezanih slova i brojeva."


A autor teksta nije čuo za "salt" za MD5, gde ako 50 ljudi napravi istu šifru - svaki će imati drugačiji salt.
Ima još punoooo poluinformacija u tekstu, al ovo mi baš bode oči

Ja kad mi treba da skontam neciju hashovanu sifru iz baze podataka, prosto izguglam hash i ako je sifra prosta dobijem rezultat

Moj posao je da zastitim login stranicu. Tako da sam vrlo stručan, da komentarišem. Imam neke svoje mehanizme, koji jos nisu probijeni, a tesko da ce i biti. Znam, zvuci agresivno, ali realno je. Evo da opisem. Imam nekoliko zastita do samog logovanja. Prvo nadhleda se raspon ip adresa i zemlje iz kojih ip dolazi. Iz po mom misljenju, manje opasnih zemalja procedura je sledeca: kada korisnik/bot zatrazi login, prvo mora da saceka 3 sekunde. To sprecava bombardovanje pokusaja da se pogodi lozinka 1000 puta u sekundi. Sledeci korak je: prvi pokusaj bez captcha-e, drugi ukljucuje se captcha, treci dupla captcha, cetvrti, ip dobija ban na 10 minuta, peti put i ako je tacna lozinka, trazi se sa potvrdi link na email tog korisnika. Svaki put browser prvo dobija javascript kod, koji mora da posalje serveru, koji server ocekuje od te ip adrese. Ovo je korisno, jer botovi (napadaci) ne parsiraju javascript i u 99% slučajeva nemaju ni pristup login stranici. Ako se kotisnik uloguje, posle 5-og pokusaja, cesto mu se trazi kaptcha, tako da je nemoćan. Lozinka mora da sadrzi Jedno veliko, malo slovo, jedan broj i jedan specijalni karakter. To je to, začepljeno. Nekad koristim google recaptcha, a nekad svoju, koju u realtime sajt pravi sa php gd. Malo vrise procesora, ali bezbednost je no. 1? Gleda se i zadnji login sa koje ip adrese je bio i iz koje zemljr, prati se i vremenski period prethodnih logovanja i na osnovu toga ife količina provere.

A šta će da rade kad me izhakuju? Evo poslaću im ja sve moje pasvorde, ionako ih ima molion, i ne znam koji mi je za šta, pa mogu njih da pitam koji mi je pasvord kad mi zatreba. Što se hakovanja tiče, šta će koji moj, na mom kompjuteru, i šta će to da mi pokradu? Možda programe starije generacije, kao i video igre, što sam ustvari ja pokrao! Šta lopov će da mene lopova da izhakuje, pa da mi pokrade iz kompjutera, sve što ima na svakom koraku?! Ili pak želi da bulji preko moje web kamere u moju neobrijanu masnu facu, i gleda u prljav napukao zid iza mojih leđa? Moćda da mi pošalje hakovanu lovu, da majstori pokrpe i okreče, a ja da idem kod brice i na manikir! Idiotarija!

Izguglajte ovaj hash iz teksta 5f4dcc3b5aa765d61d8327deb882cf99 i dobicete da je to hashovana sifra "password". Proste sifre prosto izguglate na osnovu hasha.

Salt pali ali ako je neko dosao do vase baze i hashovanih sifri, isto tako je dosao i do tabele sa saltovima. I onda posto 99.999% saltova ide na pocetku ili na kraju, dzabe ste saltovali.

(Bojan, 25. mart 2022 18:33) # Link komentara

Bojane, svaka ti cast na kvalifikacijama. Bio je ovo jedan od postova koji su najmucniji za citanje. Stekao sam utisak da su ti zapete fetis. Stvarno ih ima gde ne treba. Poradi na pravopisu.

Čekajte, šta se dešava ako koristimo 2FA? Kakve šifre, kakvi bakrači? Passwordi svakako idu u istoriju u prilično kratkom roku, recimo par godina.

Interesantno. :)

ALT+224 ?
ALT+225 ß
ALT+226 ?
ALT+227 ?
ALT+228 ?
ALT+229 ?
ALT+230 µ
ALT+231 ?
ALT+232 ?
ALT+233 ?
ALT+234 ?
ALT+235 ?
ALT+236 ?
ALT+237 ?
ALT+238 ?
ALT+251 ?
ALT+252 ?
ALT+253 ?

Elem, umro kučko. :p

Ja kad mi treba da skontam neciju hashovanu sifru iz baze podataka, prosto izguglam hash i ako je sifra prosta dobijem rezultat

A šta će da rade kad me izhakuju? Evo poslaću im ja sve moje pasvorde, ionako ih ima molion, i ne znam koji mi je za šta, pa mogu njih da pitam koji mi je pasvord kad mi zatreba. Što se hakovanja tiče, šta će koji moj, na mom kompjuteru, i šta će to da mi pokradu? Možda programe starije generacije, kao i video igre, što sam ustvari ja pokrao! Šta lopov će da mene lopova da izhakuje, pa da mi pokrade iz kompjutera, sve što ima na svakom koraku?! Ili pak želi da bulji preko moje web kamere u moju neobrijanu masnu facu, i gleda u prljav napukao zid iza mojih leđa? Moćda da mi pošalje hakovanu lovu, da majstori pokrpe i okreče, a ja da idem kod brice i na manikir! Idiotarija!

MD5 nije hashing softver, nego je hash algoritam.
Hakeri ne updataju na "server" web stranice da bi ukrali MD5 hash, nego se to cuva u bazi podataka.

Kada cete vise prestati da pisete gluposti i da ljudima plasirate totalno pogresne informacije?
Novinaru koji je pisao ovo: Ako nemas sta drugo da pises, daj brate otkaz, nisi za taj posao. Nije to nista strasno.

"a primer, ako unesete riječ "password" u jedan često korišćeni softver za hashing, nazvan MD5, dobićete sledeći niz znakova: "5f4dcc3b5aa765d61d8327deb882cf99". Ideja je da, ako hakeri uđu na server veb stranice kako bi pronašli spisak uskladištenih lozinki, mogu da vide samo niz nepovezanih slova i brojeva."


A autor teksta nije čuo za "salt" za MD5, gde ako 50 ljudi napravi istu šifru - svaki će imati drugačiji salt.
Ima još punoooo poluinformacija u tekstu, al ovo mi baš bode oči

Ne znam, nisam bas strucnjak ali radim u IT. Da, potrebno je manje vremena, ali samo ako je haker vec dobio pristup ili ima neku oflajn kopiju. Jer ako pokusava onlajn, posle svakog neuspesnog pokusaja Windows se "zaglavi" na 20 sekundi... nekad i vise. Znaci nije o tome koiko lagoritam moze brzo da krekuje, ali mora da ima skinut "hash", jer ako bi pokusavao onlajn trajalo bi milenijum. Zavisi na politici. na primer, vecina firmi ima politiku da se nalog zakljuca posle 3 neuspesne lozinke. Kraj price. Znaci da bi to sto traje 5 sati stvarno radilo, on mora da je vec imao pristup na vas racunar i skinuo hasovane lozinke. A to je vec druga prica.

Interesantno. :)

ALT+224 ?
ALT+225 ß
ALT+226 ?
ALT+227 ?
ALT+228 ?
ALT+229 ?
ALT+230 µ
ALT+231 ?
ALT+232 ?
ALT+233 ?
ALT+234 ?
ALT+235 ?
ALT+236 ?
ALT+237 ?
ALT+238 ?
ALT+251 ?
ALT+252 ?
ALT+253 ?

Elem, umro kučko. :p

caka je par decenija robije kad ih nahvataju...
Da ne pričamo o dark veb dilerima - kad rosa ulbrihta lik pita na tviteru "hows the road doing", posle koristio mejl sa svojim imenom....
Najbolji su ovi sa skajem - sve išlo preko policijskih servera...
Da ne pričamo o Toru gde je trećina "zatrovanih" nodova.. VPN-ovi koji snimaju sav saobraćaj a kobajagi nemaju logove i sl...nije sve u enkripciji - ima nešto ili nema i u glavi....

Moj posao je da zastitim login stranicu. Tako da sam vrlo stručan, da komentarišem. Imam neke svoje mehanizme, koji jos nisu probijeni, a tesko da ce i biti. Znam, zvuci agresivno, ali realno je. Evo da opisem. Imam nekoliko zastita do samog logovanja. Prvo nadhleda se raspon ip adresa i zemlje iz kojih ip dolazi. Iz po mom misljenju, manje opasnih zemalja procedura je sledeca: kada korisnik/bot zatrazi login, prvo mora da saceka 3 sekunde. To sprecava bombardovanje pokusaja da se pogodi lozinka 1000 puta u sekundi. Sledeci korak je: prvi pokusaj bez captcha-e, drugi ukljucuje se captcha, treci dupla captcha, cetvrti, ip dobija ban na 10 minuta, peti put i ako je tacna lozinka, trazi se sa potvrdi link na email tog korisnika. Svaki put browser prvo dobija javascript kod, koji mora da posalje serveru, koji server ocekuje od te ip adrese. Ovo je korisno, jer botovi (napadaci) ne parsiraju javascript i u 99% slučajeva nemaju ni pristup login stranici. Ako se kotisnik uloguje, posle 5-og pokusaja, cesto mu se trazi kaptcha, tako da je nemoćan. Lozinka mora da sadrzi Jedno veliko, malo slovo, jedan broj i jedan specijalni karakter. To je to, začepljeno. Nekad koristim google recaptcha, a nekad svoju, koju u realtime sajt pravi sa php gd. Malo vrise procesora, ali bezbednost je no. 1? Gleda se i zadnji login sa koje ip adrese je bio i iz koje zemljr, prati se i vremenski period prethodnih logovanja i na osnovu toga ife količina provere.

Izguglajte ovaj hash iz teksta 5f4dcc3b5aa765d61d8327deb882cf99 i dobicete da je to hashovana sifra "password". Proste sifre prosto izguglate na osnovu hasha.

Salt pali ali ako je neko dosao do vase baze i hashovanih sifri, isto tako je dosao i do tabele sa saltovima. I onda posto 99.999% saltova ide na pocetku ili na kraju, dzabe ste saltovali.

(Bojan, 25. mart 2022 18:33) # Link komentara

Bojane, svaka ti cast na kvalifikacijama. Bio je ovo jedan od postova koji su najmucniji za citanje. Stekao sam utisak da su ti zapete fetis. Stvarno ih ima gde ne treba. Poradi na pravopisu.

Čekajte, šta se dešava ako koristimo 2FA? Kakve šifre, kakvi bakrači? Passwordi svakako idu u istoriju u prilično kratkom roku, recimo par godina.