Szerző Téma: Az MD5 árt az egészségnek?  (Megtekintve 1659 alkalommal)

Nem elérhető AnthonyGates

  • 546
  • AnthonyGates
    • Profil megtekintése
Az MD5 árt az egészségnek?
« Dátum: 2015. szeptember 06. - 20:51:40 »
+2 Show voters
Mai témánk az lesz, hogy miért is kéne kerülnünk az ősöreg MD5 128 bites egyirányú kódolási eljárásnak a használatát, legalábbis ha szerveroldalon tárolt adat összefüggésében tesszük azt. Fájlok eredetiségének az ellenőrzésére továbbra is alkalmas.
Az egészet 1991-ben fejlesztették ki az akkor már elavult MD4 lecserélésére. Furcsamód 96-ban már találtak is benne egy biztonsági rést és már ekkor terelgették a népet egyéb hashelési eljárások (pl. Sha-1) használatára, de az emberek (és itt a PHP-sekre gondolok) bőszen ellenálltak a dolognak.
Gondolom senkinek sem kell bemutatnom a lényegét, egy 32 karakterből álló hexadecimális zagyvalékká alakítja a kapott adatot, amit nem lehet visszafejteni. Eddig nincs is vele hiba, valóban nem lehet visszafejteni azt. A 32 hexa karakter 16₃₂ variációt foglal magában, ami valljuk be a variációk tárháza. Ezzel sincs baj.
A gond ott kezdődik, hogy a mai számítási teljesítmények mellett elég gyorsan végre lehet hajtani ezt az algoritmust, és erre specializálódott oldalakon md5 érték – hash párok milliárdjai megtalálhatóak (pl. md5znaet.org, aminek megnézését sem ajánlom). Így hiába tároljuk a jelszavakat md5 hashelve az adatbázisainkban, azt gondolnánk, hogy azok továbbra is biztonságban vannak, holott ez közel sem igaz. A gondot tovább fokozza, hogy ugyanazt az md5 hash-t nem csupán egy, hanem egyszerre több érték is produkálhatja, ezzel tovább rövidítve a feltörési időt.
Vagy vegyük példának a script-et, ami apu szar i5-ösén fut és szép tatásan végigszuttyog az összes létező stringen, ami bejöhet. Egy md5 legenerálása kétszázmilliomod másodpercet vesz igénybe, mivel rövid stringek esetében az md5 algoritmus egy részét “át lehet ugrani”. Ha csak az angol abc karaktereit használjuk, akkor az karakterenként 26 lehetőség, ha kis- és nagybetű egyaránt szerepel benne, akkor az már 52 lehetőség, ha szám is van benne, az már 62. Ha mindezt a kiterjesztett magyar ábécé (+ékezetes betűk és q,w,x,y) karaktereivel, akkor az már 98 lehetőség egy karakteren.
Ha jelszavunk 10 kisbetűs karakterből áll, akkor az 26₁₀, azaz 141.167.100.000.000 lehetőség az angol ABC kisbetűivel. Ez apa i5-ösével bizony “sok”, 196 órát venne igénybe. Na de ki az az amatőr aki csak egy számítógépet használna ilyen célokra? Erre van a jól szituált bot hálózatunk. Na meg azt se felejtsük el, hogy lehet ezt gyorsabban is csinálni, 16 magon “némileg” gyorsabb lenne mindez. Ráadásul amint már megbeszéltük, mivel több érték mutathat ugyanarra az md5-re, lehet már a 100.000-ik próbálkozásunk is kiadja azt az md5-öt, amit keresünk, ami bizony jóval kevesebb energia és idő.
 
A szerver pedig csak az md5-öket hasonlítja össze, nem érdekli, hogy a bejövő jelszó csak 3 karakter vagy 10.

 
Akkor most nézzünk egy fokkal modernebb eljárást, az ún. Sha-1-et. Ez már 160 bites hash-t generál, ami egy fokkal bonyolultabb, de a gond továbbra is az, hogy ezek gyors eljárások, ezért továbbra is a bruteforce támadások fő célpontjai lesznek, arról nem is beszélve, hogy ennél a módszernél is található ún. ütközés a generált kulcsok között.
Akkor jöjjön a sha-2/512, ami némileg lassabb, mint a sha-1-es elődje és 512 bites stringet produkál, de ami a legfontosabb, eddig nem találtak benne ütközést a kulcsok között, így bízhatunk abban, hogyha egy 10 karakteres jelszót keresnek, akkor bizony végig kell szüttyögniük mind a 141 ezer milliárd opciót.
Forrás: Tacsiazuma, letscode.hu

Az MD5 árt az egészségnek?
« Válasz #1 Dátum: 2015. szeptember 06. - 20:59:06 »
0 Show voters
Jó kis leírás. Te mit ajánlasz titkosításra?

Nem elérhető AnthonyGates

  • 546
  • AnthonyGates
    • Profil megtekintése
Az MD5 árt az egészségnek?
« Válasz #2 Dátum: 2015. szeptember 06. - 21:27:49 »
0 Show voters
Egy kis eszet, hisz nyílván már a 2xes hashelés is sokat ér.
Igazából bármelyik jó, de mindenképp legalább kétféle titkosítást, hasonló módon, csak átdolgozva.
http://sampforum.hu/index.php?topic=62192.0
« Utoljára szerkesztve: 2015. szeptember 08. - 19:56:17 írta Anthony Gates »

Nem elérhető Kovacs_Richard

  • 1743
  • HRP Fejlesztő
  • Discord: Kovacs_Richard#0321
    • Profil megtekintése
    • Hun Role Play Web
Az MD5 árt az egészségnek?
« Válasz #3 Dátum: 2015. szeptember 14. - 09:49:14 »
0 Show voters
ha valaki hozzáfér az adatbázishoz és tudja az MD5-el hash-elt jelszót akkor visszatudja fejteni és megtudja az eredeti jelszót, ezért kell sózni, vagy többször titkosítani...
viszont ha valaki már bent van a rendszerben akkor simán bejut a loginon, sőt lehet, hogy nem csak az adatbázishoz, hanem a kódhoz is hozzáfér...
tehát az MD5, vagy bármelyik jelszó titkosítás arra jó, hogy a jelszó ne egyből legyen olvasható annak aki ránéz, viszont ha a kódhoz hozzáfér akkor megtudja nézni hogyan titkosítjuk a jelszót akkor abból már kellő idővel megtudja az eredeti jelszót!
hisz a bruteforce-al csak egy gépet rá kell engednie ami próbálgatja a string lehetőségeket...lehet ez 2 perc, 200 óra vagy akár 200 nap, talán több is...
legtöbbször nem is bajlódnak ezzel, hanem meg van a konkrét célpont akinek keyloggert helyeznek a gépére, vagy a mentett jelszavait figyelik, esetleg egy hamis login oldallal átverik, vagy a hálózaton küldött adatokból bogarásznak...
szóval nincs 100%-os védelem, mert ha valaki nagyon akarja akkor vagy így, vagy úgy bejut az adott felhasználóval, vagy épp az adatbázishoz/kódhoz fér hozzá...
arra kell törekedni, hogy a jelszót ne tudják ellopni tőlünk semmilyen formában! viszont más módszerekkel a felhasználótól, vagy a köztes hálózatról könnyebben megtudják ezt szerezni...
persze a brute force ellen fel kell készíteni a kódot, de nincs 100%-os védelem ezt már többször bizonyították!
Régóta nem tevékenykedem, mint SA-MP scripter.
HRP Fejlesztő.

Nem elérhető kurta999

  • 2759
  • Éllő fédisznó
    • Profil megtekintése
Az MD5 árt az egészségnek?
« Válasz #4 Dátum: 2015. szeptember 17. - 23:35:00 »
0 Show voters
bcrypt és viszlát :D

Nem elérhető AnthonyGates

  • 546
  • AnthonyGates
    • Profil megtekintése
Az MD5 árt az egészségnek?
« Válasz #5 Dátum: 2015. szeptember 21. - 15:27:24 »
0 Show voters
Az is egy megoldás.

 

SimplePortal 2.3.7 © 2008-2024, SimplePortal