Интерфейс

[Игорь 2]

за Игорем окончательное слово конечно.

Вообще на эту тему пока что не думал...

[SYN]

На сколько мне известно, что хэшки с солью не ломаются (но слабо в это верю)

Да там суть в поиске одинаковых паролей. Людям свойственно задавать слабые пароли, потому они нередко могут совпадать (или одинаковые на разных ресурсах у одного человека). Сам по себе хеш не взломать, а вот поиск одинаковых хешей без соли сразу дает массовый взлом.

Пусть есть 10 пользователей, которые задали одинаковый пароль к своему аккаунту, типа 123456, хеш будет у всех одинаковый

Код: [Выделить]

work@usr1-P5K-E:~$ printf "123456" | sha1sum
7c4a8d09ca3762af61e59520943dc26494f8941b - вот такой

Значит взломав один аккаунт и прошерстив все хеши (в т.ч. на каких-то других серверах) атакующий найдет аналогичные строки и сразу поймет, что у этих пользователей тот же пароль. Они взломаны автоматически, без усилий. Если добавить соль ситуация изменится

Код: [Выделить]

work@usr1-P5K-E:~$ printf "salt1_123456" | sha1sum
6217dfb5d7a4c769d810da5235220dbdceaa4786   - уже другое значение

work@usr1-P5K-E:~$ printf "salt2_123456" | sha1sum
8a4c95b416e934661032a3ef5ad2d13112b84d96   - опять другое
Только соль нужна разная.

[ra0ahc]

Это фотка появляется один раз при перезапуске  главной страницы держится 2с и плавно исчезает. И даже потом если вернуться при сёрфинге на эту страницу то картинки не будет. Только если принудительно рестарт сайта сделать или вернуться с другого сайта, что тоже будет фактически рестартом. А так,  я проверил на телефоне - все ок! И не напряжно. 
Завтра базу обновлю на сервере (пока локально делал) и сами посмотрите.

[ra0ahc]

Это вообще все тестовое ещё 
Я просто пострел как цветовая гамма смотрится и какая читабельность на телефоне. Пока нормально, но потом сервис будет усложнять экран и там начнётся самое интересное. Пока алиэксроесс на телефоне самая продвинутая программа. 

[0лег]

На сколько мне известно, что хэшки с солью не ломаются (но слабо в это верю)
Да там суть в поиске одинаковых паролей. Людям свойственно задавать слабые пароли, потому они нередко могут совпадать (или одинаковые на разных ресурсах у одного человека). Сам по себе хеш не взломать, а вот поиск одинаковых хешей без соли сразу дает массовый взлом.

Ну и еще возможна атака перебором с применением словаря. sha1 и sha2 на современном игровом GPU считаются быстро, с хорошими словарями есть неплохой шанс подбора слабых паролей.

Я немного погорячился, написав ранее что наши пароли сейчас передаются в открытом виде. Признаю ошибку. 
Посмотрел я html, скрипты и взглянул в WireShark реальный обмен данными. Скрипт в браузере вычисляет хэш sha1 от пароля с добавлением id текущей сессии (соль).
Тем не менее и хэш и соль передаются в открытом виде по HTTP.  При возможности перехвата пакетов потенциальный злоумышленник может попробовать атаку со словарем.
Так что если администраторы упорно не хотят использовать TLS (HTTPS), то обычным пользователям остается только использовать сложные длинные пароли и менять их почаще.
Хотя это всегда полезно.

Возможно в новом форуме будет что-то более надежное. Надеюсь, Сергей не подведет 

[ra0ahc]

Ха! я сделал парсер!
одной кнопкой  я залил себе в базу 49к сообщение с этого форума за несколько секунд. 

[SYN]

sha1 и sha2 на современном игровом GPU считаются быстро,

GPU для этого вряд ли нужен. Вычисление хешей, да и шифрование то же, это совсем не требовательные операции с точки зрения отбираемых ресурсов. Попробуйте вычислить хеш жесткого диска целиком и увидите, что на это уйдет не так много времени.

[SYN]

Ну и если импортозамещаться, то шрифт то же нужен свободный для нового форума, а еще лучше если не просто свободный, а православный российский, например PT Astra Sans, вполне себе не чуть не хуже буржуйского calibri. 

[ra0ahc]

Шрифт грузится вместе с форумом. Он у меня на диске лежит. Его не надо имп.замещать.

Сконвертировал каталоги и темы себе в базу, теперь хоть каждый день заливай всё одной кнопкой делается. Все сообщения еще вчера залил себе. С фотками сложный вопрос - доступа к фоткам нет    имена есть файлов, а доступ php файл дает и просто так не получится спереть их  .

[ra0ahc]

А вот так возможно получится копирнуть все файлы с форума без привлечения админов 

[SYN]

Ну а wget ом нельзя картинки выкачать? Он в маке у вас должен быть. Им весь сайт выкачать можно.

[0лег]

GPU для этого вряд ли нужен. Вычисление хешей, да и шифрование то же, это совсем не требовательные операции с точки зрения отбираемых ресурсов. Попробуйте вычислить хеш жесткого диска целиком и увидите, что на это уйдет не так много времени.

Полностью с Вами согласен. Я неточно выразил свою мысль.
Вычисление одного хэша совершенно не требует GPU, однако при переборе вариантов по словарю или просто методом "грубой силы" требуется вычисление очень большого количества хэшей. В этом случае задачи хэширования хорошо распараллеливаются на GPU, что обычно и дает существенный прирост производительности.

Вот пример для hashcat

Это CPU i5-8400
-------------------
* Hash-Mode 0 (MD5)
-------------------
Speed.#2.........:   660.8 MH/s (4.67ms) @ Accel:512 Loops:1024 Thr:1 Vec:8
----------------------
* Hash-Mode 100 (SHA1)
----------------------
Speed.#2.........:   447.4 MH/s (6.91ms) @ Accel:512 Loops:1024 Thr:1 Vec:8

А это GPU GeForce GTX 1070
-------------------
* Hash-Mode 0 (MD5)
-------------------
Speed.#1.........: 20129.7 MH/s (49.61ms) @ Accel:256 Loops:1024 Thr:256 Vec:8
----------------------
* Hash-Mode 100 (SHA1)
----------------------
Speed.#1.........:  6678.8 MH/s (74.92ms) @ Accel:128 Loops:1024 Thr:256 Vec:1

[SYN]

Да просто такие таблицы на мой взгляд готовятся заранее, а скорость "проверки" не так высока, когда это происходит в сети. При этом вполне приличная база вряд ли будет весить слишком уж много, это же обычная текстовая белибердень. Впрочем не буду спорить, я экспериментов не проводил. 

[0лег]

Да просто такие таблицы на мой взгляд готовятся заранее, а скорость "проверки" не так высока, когда это происходит в сети. При этом вполне приличная база вряд ли будет весить слишком уж много, это же обычная текстовая белибердень.

Не совсем понял, что имелось в виду. Тем не менее прокомментирую.

Hashcat - это совершенно рабочий инструмент для подбора паролей по имеющемуся хэшу, который был заранее перехвачен и сохранен.
"По сети" он не работает. Подход несколько иной.

Берется хэш, скажем "подслушанный" 4-ways handshake при авторизации WPA2, или скопированный из базы данных или еще какой-то вариант. Это не важно, главное, что хэш уже каким-то образом получен.
Далее задача - перебирать возможные варианты паролей и вычислять их хэши. Если вычисленный хэш совпал с имеющимся образцом - задача выполнена, пароль найден.
Дабы не перебирать миллиарды комбинаций, берем не очень большой "словарь" где-нибудь миллионов на 10 или на 100 возможных паролей и используем для поиска возможного варианта пароля.
Это - один из вариантов, есть стратегии посложнее да и количество возможных вариантов паролей бывает побольше.
Так что все считается "оффлайн".

Насчет "заготовленных" таблиц - не соглашусь. Честно вычисляются хэши (кстати, там есть где-то 320 разных поддерживаемых алгоритмов). Это ведь делается не для рекламных целей (программа-то бесплатная), а для понимания реальной производительности железа, на котором используется программа и для тонкой настройки параметров (если надо).
То что я привел ранее - это "прогон" hashcat на компьютере сегодня утром, а не "заготовленные таблицы".

Посчитать миллионов 100 хэшей можно, конечно, и на CPU, но на GPU обычно получается ощутимо быстрее. 

[SYN]

Вот по этому SSL/TLS все таки нужен (ну ладно, пусть не нам), кстати по моему гугл теперь занижает популярность сайтов без этой штуковыны. Как с этим обходится Яндекс не знаю.