Password MD5 Cracked? Wikipedia 9c677286866aad38f8e9b660f5411814 Si - ma non e' sorprendente, dato il link era su Wikipedia drupalitalia 509ae648db56bef2ac95de7cebee4f91 No - phew! 25092009 81b0982e4890a7ad559bd5d4a03f7828 No - phew! jhl123 df292267cdd3d0ff82ee8745dedf9bc0 No - phew! jhl.verona 177c78375d42d3b56f8016d7c18c7bf0 No - phew! ?!2d%Xz£dF.; 906a023b62d53b6cb7df2d7e317e6f81 No - phew!
Password MD5 Cracked? Wikipedia 9c677286866aad38f8e9b660f5411814 Si - ma non e' sorprendente, dato il link era su Wikipedia drupalitalia 509ae648db56bef2ac95de7cebee4f91 No - phew! 25092009 81b0982e4890a7ad559bd5d4a03f7828 Si jhl123 df292267cdd3d0ff82ee8745dedf9bc0 Si jhl.verona 177c78375d42d3b56f8016d7c18c7bf0 No - phew! ?!2d%Xz£dF.; 906a023b62d53b6cb7df2d7e317e6f81 No - phew!
E questi sono programmi online, con uno sul proprio PC? John the Ripper?
Morale della favola 1 - usa misto maiuscola/minuscola, numeri, e punctuation.
Morale della favola 2 - usa salted passwords, ma Drupal non lo fa. Sigh
Il mio livello di paranoia e' troppo alto? Questo poi...
non ti dò tutti i torti sul "livello paranoia", diciamo che personalmente mi affido alla difficoltà di accedere alla password codificata. Se si accede alla pasword codificata... è relativamente facile per esempio sostituirla... oppure creare un nuovo super user... ecc.
Slice2Theme Servizio per la conversione di Design in markup HTML e/o temi.
Sono un po' preoccupato...C'e' qualcuno dietro di me? Ha una pistola forse?
kiuz wrote:
non ti dò tutti i torti sul "livello paranoia", diciamo che personalmente mi affido alla difficoltà di accedere alla password codificata. Se si accede alla pasword codificata... è relativamente facile per esempio sostituirla... oppure creare un nuovo super user... ecc.
Quale difficolta'? Hai tutti i siti in https? Spento il FTP? Accedi solo con SSH, hai un password luuuuungho con caratteri strani? Io purtroppo no...
Vedi Security through obscurity oppure Sicurezza tramite segretezza.
Il mio voto va alla seconda ipotesi quando la mia ignoranza in matteria mi permette.
Sono un po' preoccupato...C'e' qualcuno dietro di me? Ha una pistola forse?
kiuz wrote:
non ti dò tutti i torti sul "livello paranoia", diciamo che personalmente mi affido alla difficoltà di accedere alla password codificata. Se si accede alla pasword codificata... è relativamente facile per esempio sostituirla... oppure creare un nuovo super user... ecc.
Quale difficolta'? Hai tutti i siti in https? Spento il FTP? Accedi solo con SSH, hai un password luuuuungho con caratteri strani? Io purtroppo no...
Vedi Security through obscurity oppure Sicurezza tramite segretezza.
Il mio voto va alla seconda ipotesi quando la mia ignoranza in matteria mi permette.
A volte si, e penso che in alcune situazioni è l'unica via percorribile per scongiurare qualche buco venga fuori. comunque ho delle consideraioni a riguardo.
Personalmente penso che il problema sia MOOOLTO più semplice, io ho avuto a che fare con gente che è venuta da me disperata dicendomi che qualcuno gli aveva rubato l'account su Hotmail o in qualche altro posto e poi scoprimo Password del tipo. 123456, NOMECOGNOME, NOME-DATA, COGNOME-DATA, DATA ecc.... e ci rendiamo conto che sono password presenti in dizionari o semplicemente identificabili conoscendo la vittima....
Altra considerazione che ci tengo a fare è che spesso è la stessa vittima a cadere trappola delle malefatte e magari l'attaccante ha davvero speso poche energie... perchè se devo spendere energie a cracckare qualcosa, penso almeno a farlo su qualcosa di inrteressante no? :D
Slice2Theme Servizio per la conversione di Design in markup HTML e/o temi.
forse è md5, ma posso sbagliarmi.
Slice2Theme Servizio per la conversione di Design in markup HTML e/o temi.
WeBrain Solution | Pillsofbits Of Bits
E' proprio md5,
grazie
prego.
Slice2Theme Servizio per la conversione di Design in markup HTML e/o temi.
WeBrain Solution | Pillsofbits Of Bits
Mamma mia, questo non mi l'aspettavo...
Spero di no. O almeno un salted hash.
Hai ragione. In modules/user.module, riga 210:
Okay. Ma non e' salted. Quindi abbastanza facile di crackare.
Vediamo... Wikipedia su MD5 punta a MD5 online cracker. Usiamo un online MD5 generator per fare un po' di prove...
Resultati:
Password MD5 Cracked?Wikipedia 9c677286866aad38f8e9b660f5411814 Si - ma non e' sorprendente, dato il link era su Wikipedia
drupalitalia 509ae648db56bef2ac95de7cebee4f91 No - phew!
25092009 81b0982e4890a7ad559bd5d4a03f7828 No - phew!
jhl123 df292267cdd3d0ff82ee8745dedf9bc0 No - phew!
jhl.verona 177c78375d42d3b56f8016d7c18c7bf0 No - phew!
?!2d%Xz£dF.; 906a023b62d53b6cb7df2d7e317e6f81 No - phew!
Adesso proviamo con uno che conosco io: GData
Risultati:
Password MD5 Cracked?Wikipedia 9c677286866aad38f8e9b660f5411814 Si - ma non e' sorprendente, dato il link era su Wikipedia
drupalitalia 509ae648db56bef2ac95de7cebee4f91 No - phew!
25092009 81b0982e4890a7ad559bd5d4a03f7828 Si
jhl123 df292267cdd3d0ff82ee8745dedf9bc0 Si
jhl.verona 177c78375d42d3b56f8016d7c18c7bf0 No - phew!
?!2d%Xz£dF.; 906a023b62d53b6cb7df2d7e317e6f81 No - phew!
E questi sono programmi online, con uno sul proprio PC? John the Ripper?
Morale della favola 1 - usa misto maiuscola/minuscola, numeri, e punctuation.
Morale della favola 2 - usa salted passwords, ma Drupal non lo fa. Sigh
Il mio livello di paranoia e' troppo alto?
Questo poi...
John
Più imparo, più dubito.
non ti dò tutti i torti sul "livello paranoia", diciamo che personalmente mi affido alla difficoltà di accedere alla password codificata. Se si accede alla pasword codificata... è relativamente facile per esempio sostituirla... oppure creare un nuovo super user... ecc.
Slice2Theme Servizio per la conversione di Design in markup HTML e/o temi.
WeBrain Solution | Pillsofbits Of Bits
Sono un po' preoccupato...C'e' qualcuno dietro di me? Ha una pistola forse?
Quale difficolta'? Hai tutti i siti in https? Spento il FTP? Accedi solo con SSH, hai un password luuuuungho con caratteri strani? Io purtroppo no...
Vedi Security through obscurity oppure Sicurezza tramite segretezza.
Il mio voto va alla seconda ipotesi quando la mia ignoranza in matteria mi permette.
Link di interesse:
Bruce Schneier
Going from unsalted to salted MD5 passwords
E su Windows:
Cain and Able - nome appropriato.
John
Più imparo, più dubito.
A volte si, e penso che in alcune situazioni è l'unica via percorribile per scongiurare qualche buco venga fuori. comunque ho delle consideraioni a riguardo.
Personalmente penso che il problema sia MOOOLTO più semplice, io ho avuto a che fare con gente che è venuta da me disperata dicendomi che qualcuno gli aveva rubato l'account su Hotmail o in qualche altro posto e poi scoprimo Password del tipo. 123456, NOMECOGNOME, NOME-DATA, COGNOME-DATA, DATA ecc.... e ci rendiamo conto che sono password presenti in dizionari o semplicemente identificabili conoscendo la vittima....
Altra considerazione che ci tengo a fare è che spesso è la stessa vittima a cadere trappola delle malefatte e magari l'attaccante ha davvero speso poche energie... perchè se devo spendere energie a cracckare qualcosa, penso almeno a farlo su qualcosa di inrteressante no? :D
Slice2Theme Servizio per la conversione di Design in markup HTML e/o temi.
WeBrain Solution | Pillsofbits Of Bits