отлично! эта сука знает все мои пароли. =)

чета фигня какая то, минус влепить что ли?

Realasterix (08:28), лепи конечно :)

Сорри, налажал с количеством записей. Там их больше МИЛЛИАРДА! 1,133,757,161 :)

ceba (09:41), ты бы объяснил для начала для чего эта хрень нужна.

Realasterix (09:59), обычно все пароли в базе хранят в зашифрованном виде. Так что если базу с паролями украдут, то узнать пароль всё равно невозможно.

Чяще всего используется алгоритм MD5, который является необратимым. То есть алгоритм известен, но даже зная его код невозможно повернуть результат его работы в обратную сторону. Зашифрованная комбинация (хэш) это 128-битный ключ, то есть он имеет 2 в 128 степени вариантов, а это примерно 3 с 38 нулями. Понятно что на полный перебор уйдёт вечность.

Эта база содержит пароли с посчитанными для них хешами и их в базе более миллиарда. Поэтому достаточно вбить сюда хеш и мгновенно получиш сам пароль. Твой например :)

Там нету самого распостранённого пароля "god" и "123".

Герасим (10:18), не тУпи, есть! Там же надо не пароль вбивать, а хеш!

god = a4757d7419ff3b48e92e90596f0e7548
123 = 202cb962ac59075b964b07152d234b70

ceba (10:05), ну свой то я знаю. а я могу увидеть хэш своего пароля?

Realasterix (10:23), да, тут например: http://ceba.ru/tools

ceba (10:24), нуегонах такие ссылки выкладывать!!!

Realasterix (10:31), :)

моих нетривиальных паролей там нет )

пользуйтесь элементарными правилами создания паролей и будет вам щасте )

Realasterix (10:31),

да почему бы и нет, кто сможет хэш пароля добыть, такую ссылку тем более без проблем надыбает )

Имперская Разведка (10:55), ну я вот проверил один вариантик - таки да, нет такого пароля :) теперь буду им пользоваться :)

ceba (10:23), я хэш и вбивал. Хэш брал на freebsd-шной машине командой "md5". Может, там какой-то другой md5 :-D

http://www.pctools.com/guides/password/

Не надо ничего придумывать.

Герасим (11:28), они все одинаковые должны быть... :)

а мегапароля из второй части "лабиринта отражений" там нету :(

yegorka (11:54), это какова? Щяс добавим :)

ceba (12:09), блин, я про точку в конце забыл и всё слитно, одним словом набирал :( а всё равно её там нет ;)

"– Это фраза, первая буква строчная, все остальные прописные. Пробелы значимы. В конце должна стоять точка. Набирай… и повторяй по буквам.

Чего он тянет…

Чингиз выдыхает и ледяным голосом произносит:

– Сорок тысяч обезьян в жопу сунули банан."

На самом деле как правило тот, кто может надыбать хеш - без проблем надыбает и пароль, достаточно вставить сохранение в лог пароля в чистом виде при авторизации/регистрации. Я против этого как правило юзаю двойное кодирование: модицифированный sha1 на стороне клиента и затем поверх md5 на стороне сервера. И кстати, md5 никогда и не позиционировался как криптографический алгоритм, а скорее как простое получение слепка/отпечатка для контроля целостности исходных данных, юзать его в криптографических целях в любом случае глупо.. плюс не стоит забывать про коллизии.

leenq (12:16),

коллизии?

в смысле что разные пароли могут дать один и тот же мд5?

leenq (12:16), да-да, я помню твой деплом :)

Имперская Разведка (12:24), точна!

ceba (13:05), кстати, забавно, что некоторые идеи, брошенные в этом "депломе" в воздух - мне в дальнейшем реально пригодились :) Я сейчас мутю систему: что-то вроде https на скрипте, т.е. некие данные, необходимые скрыть от сторонних (пароль, данные сессии и т.п.) + некая сгенеренная тем же клиентом инфа (своеобразный идентификатор сессии) шифруются клиентом с помощью открытого ключа, а потом на моей стороне расшировывается обратно - в таком случае даже полный перехват данных снифом не дает ни возможности подделать свою сессию, ни узнать пароль. Плюс можно избавиться от https, который является редкостным геммороем, держа все конфиденциальные данные сессии в скрытом виде.

leenq (13:32), моск :) Пехепе?

ceba (13:35), ага :)

. (17:40), да, просьба ещё указывать где вы будете юзать этот пароль :)))

На этом есть фича вычисления (наверное и в базу добавляется): http://gdataonline.com/makehash.php

. (17:40), ага, а Стас отлавливает все вводимые пароли..... и айпишники...

. (18:07), а кто сказал, что у меня нет паранои? :))))

. (18:07), ага, именно это я и имела в виду ))))

. (17:40), Ну, здрасте. Канал ничуть не скрывается, это классическая криптография на базе RSA, подразумевающая открытый канал. Пара открытый-закрытый ключ генерируется для каждой отдельно взятой сессии. Сервер отправляет уникальный публичный ключ клиенту, клиент шифрует свои данные и отправляет обратно серверу. Без закрытого ключа эти данные - хлам и их перехват ничего не дает. Сгенерировать свой хлам с тем же открытым ключом - тоже не поможет, так как клиент в первом запросе с идентификационными данными передает идентификатор сессии, который требуется при каждом последующем запросе. Не вижу никаких проблем в "жизнеспособности" данного алгоритма.

https нежелателен, да и в данной ситуации попросту не доступен - используется name-based хосты, а ip под иной сертификат уже заюзан. Удостоверять пользователя, что он сидит именно на том ресурсе, который хотел запросить - по определенным причинам не требуется, вопрос лишь в закрытости переданных данных.