1. casa
  2. Domanda e risposta
  3. Riesci a capire lo schema di hashing della password?

Riesci a capire lo schema di hashing della password?

2010-06-07 13 views
11

Ho due password e due hash risultanti. Non riesco a capire come l'hash è derivato dalla password. Non so se si usa la salatura. Non so se la password è sottoposta a hash come valore intero o come stringa (possibilmente Unicode).Riesci a capire lo schema di hashing della password?

Password: 6770 Hash: c12114b91a3841c143bbeb121693e80b

Password: 9591 Hash: 25238d578b6a61c2c54bfe55742984c1 lunghezza

L'hash MD5 sembra suggerire. Qualcuno ha qualche idea su cosa potrei provare?

Nota: questo non è per scopi di hacking. Sto cercando di accedere a un servizio tramite un'API anziché il client desktop e non riesco a capire come calcolare l'hash della password. Attualmente invece di usare la mia vera password, sto inviando direttamente l'hash.

fonte

2010-06-07 Meh

risposta

28

Googling su quei valori hash (!) Rivela che 25238d578b6a61c2c54bfe55742984c1 è il md2sum di "9591" (source), e che il sito ha un'altra pagina che conferma lo stesso per 6770 e il tuo primo valore hash (source2).

(Edit: allora ho googled un po 'di codice sorgente MD2 e un controllo incrociato gli hash.)

(A cura di nuovo a commentare: Sei incredibilmente fortunato che questa API utilizza tale sistema di hashing terribile, senza alcuna salatura o prefissi! :-))

fonte

2010-06-07 13:32:37 crazyscot

+10

Un bel promemoria per sapere quanto sia sbagliato l'hashing della password non salato. –

+1

+1 - In realtà non pensavo di cercare su google l'hash stesso. –

3

La documentazione dell'API non dice? Strano.

In linea di principio, questo è un problema impossibile: qualsiasi numero di algoritmi di hash diversi può dare gli stessi risultati in un dato numero di casi particolari e quindi dare un risultato diverso la prima volta che ci si affida a uno.

In pratica, però, probabilmente è possibile provare alcuni algoritmi di hash crittografici comuni e vedere cosa ti danno. Se uno corrisponde a pochi casi scelti a caso, probabilmente ha ragione. Una persona malintenzionata potrebbe, ad esempio, rimappare alcuni caratteri (scambia "2" per "3" o qualsiasi altra cosa - non lo riconosceresti con le tue password di esempio) prima di applicare l'algoritmo di hash principale, ma è improbabile nelle app reali.

BTW - una password di quattro cifre è quasi sicura come non avere una password.

fonte

2010-06-07 13:42:47 Steve314

Problemi correlati

 Problemi correlati