Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT

[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT	08/12/2009 20:31:00 (+0700) \| #31 \| 200125

hashflower242
Member

Joined: 19/12/2007 23:28:05
Messages: 2
Offline

@hvthang bạn có biết thông số kết nối database của trang web đó k mà đòi giả mạo? Nếu biết được các thông số kết nối này ta có thể làm nhiều chuyện hơn là pass mỗi cái mật khẩu mà k qua match hash value...

[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT	09/12/2009 17:03:52 (+0700) \| #32 \| 200182

netstart
Member

Joined: 06/12/2009 10:57:38
Messages: 7
Offline

Em thấy chủ đề này hay quá nên cũng muốn tham gia.
em nghĩ hvthang với em cùng có 1 thắc mắc

ví dụ định dạng gói tin mà application ở client gưởi cho server không được mã hóa
gói tin sẽ có dạng : header + data . ở đây data = username + hash(PASS).

Địch thủ ở giữa bắt được gói tin này và giả dụ vừa có quyền thay đổi gói tin, chặn gói tin, giả mạo gói tin.
Nếu người đó giả mạo cái phần header chỉnh nó sao cho cái địa chỉ gưởi là địa chỉ của địch thủ, vậy thì khi gói tin gưởi lên server thì nó hoàn toàn hợp lệ và server sẽ chấp nhận kiểm tra và thấy đúng.

Tất nhiên ở đây có giả dụ là dữ liệu không bị mã hóa, chứ nếu application này dùng dịch vụ như kerbros chẳng hạn thì chắc không có vấn đề này. Ý em muốn hỏi ở đây là nếu có những giả thiết như em đưa ra thì địch thủ có thể giả mạo được người dùng mà server không thể biết được không ạ

Em cảm ơn!

[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT	18/01/2010 19:57:35 (+0700) \| #33 \| 203511

caotrienx
Member

Joined: 24/02/2007 16:21:27
Messages: 9
Offline

xin hỏi nếu pass là: 19860805

mã hóa thành 51f49380bc8aeae2f1456e9e94b6fbc3

vậy đây là dạng mã hóa gì <thử với md5 nhưng ko phải>

Ai cho biết với va lam ơn chuyển từ: 57c4b03b07d5b098b92a0205dcca66d5 thành pass với

[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT	19/01/2010 01:14:18 (+0700) \| #34 \| 203531

quocviet1024
Member

Joined: 07/06/2007 00:14:10
Messages: 6
Offline

- Chúng có tác dụng , chức năng, công dụng, ứng dụng như thế nào ?
- Trên phương diện bảo mật thì phương thức mã hoá mật khẩu nào (ở trên) tốt nhất .
- Hiện tại có cách nào "đọc" được nội dung bên trong, một khi sử dụng các phương thức mã hoá trên ?
- Các phương thức mã hoá mật khẩu ở trên thực tế chúng được áp dụng cho những phần mềm nào trên server, xin cho một vài ví dụ những phần mềm áp dụng phương thức mã hoá mật khẩu này cho phần mềm A nhưng không áp dụng được phương thức mã hoá mật khẩu cho phần mềm B.
----

- Tác dụng và chức năng thì đã rõ -> hạn chế dịch ngược.
- Phương thức mã hoá nào là tốt nhất? Hiện nay phương thức DES do Mỹ phát minh luôn được đề cao nhất, và theo lý thuyết, mã hoá càng nhiều bits thì độ phức tạp càng "phức tạp". Nhưng, thế nào là tốt nhất? - Một ổ khoá hiện đại đến mấy cũng không bảo vệ được tường nhà của bạn bị trộm đục khoét, không ngăn được chính bạn tự tay mở ổ khoá để mời một tên thợ ống nước vào nhà, và rất phiền toái khi bạn phải tự tay tra M__mũ__N chìa khoá để mở cổng cho chính bản thân bạn vào nhà....
- Để đọc được nội dung giải mã, cần phải biết được mã khoá của bản tin đó (khoá đối xứng, bất đối xứng) còn với dạng băm (một chiều) thì chỉ có cách duy nhất là crack thuật toán hoặc "bó tay". Nếu bản tin đó là một chuỗi mật khẩu không quá lớn thì có thể brute-force (rainbow) bằng cách dò các chuỗi gốc cho đến khi kết quả đúng bằng bản tin đã mã hoá cho trước.
- Ý cuối cùng thì không hiểu lắm smilie

[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT	19/01/2010 08:40:36 (+0700) \| #35 \| 203550

hvthang
Member

Joined: 20/07/2005 03:26:58
Messages: 187
Offline

caotrienx wrote:

xin hỏi nếu pass là: 19860805

mã hóa thành 51f49380bc8aeae2f1456e9e94b6fbc3

vậy đây là dạng mã hóa gì <thử với md5 nhưng ko phải>

Ai cho biết với va lam ơn chuyển từ: 57c4b03b07d5b098b92a0205dcca66d5 thành pass với

Có mấy câu với bạn:
Việc kiểm tra chuỗi giá trị hash trong trường hợp biết được đầu vào của bạn là hoàn toàn không khó, bạn có thể dùng tool (CAIN cũng có), hoặc lên trực tiếp các trang hỗ trợ (khuyến nghị cách này) (vào google gõ hash calculator là ra một đống).
Tuy nhiên, tui đang phân vân là bạn đang định làm gì??? Bạn đưa ra một các giá trị hash và một cái đầu vào khác nhau rồi kêu mọi người giải đáp (câu trả lời bạn mong muốn có phải là: 51f49380bc8aeae2f1456e9e94b6fbc3 không phải là giá trị hash của 19860805 mà là của xxxxxxxxxx (bạn đang cần??).
Chính cái câu

Ai cho biết với va lam ơn chuyển từ: 57c4b03b07d5b098b92a0205dcca66d5 thành pass với

đã nói rõ điều đó.

[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT	19/01/2010 08:44:53 (+0700) \| #36 \| 203553

hvthang
Member

Joined: 20/07/2005 03:26:58
Messages: 187
Offline

quocviet1024 wrote:

- Chúng có tác dụng , chức năng, công dụng, ứng dụng như thế nào ?
- Trên phương diện bảo mật thì phương thức mã hoá mật khẩu nào (ở trên) tốt nhất .
- Hiện tại có cách nào "đọc" được nội dung bên trong, một khi sử dụng các phương thức mã hoá trên ?
- Các phương thức mã hoá mật khẩu ở trên thực tế chúng được áp dụng cho những phần mềm nào trên server, xin cho một vài ví dụ những phần mềm áp dụng phương thức mã hoá mật khẩu này cho phần mềm A nhưng không áp dụng được phương thức mã hoá mật khẩu cho phần mềm B.
----

- Tác dụng và chức năng thì đã rõ -> hạn chế dịch ngược.
- Phương thức mã hoá nào là tốt nhất? Hiện nay phương thức DES do Mỹ phát minh luôn được đề cao nhất, và theo lý thuyết, mã hoá càng nhiều bits thì độ phức tạp càng "phức tạp". Nhưng, thế nào là tốt nhất? - Một ổ khoá hiện đại đến mấy cũng không bảo vệ được tường nhà của bạn bị trộm đục khoét, không ngăn được chính bạn tự tay mở ổ khoá để mời một tên thợ ống nước vào nhà, và rất phiền toái khi bạn phải tự tay tra M__mũ__N chìa khoá để mở cổng cho chính bản thân bạn vào nhà....
- Để đọc được nội dung giải mã, cần phải biết được mã khoá của bản tin đó (khoá đối xứng, bất đối xứng) còn với dạng băm (một chiều) thì chỉ có cách duy nhất là crack thuật toán hoặc "bó tay". Nếu bản tin đó là một chuỗi mật khẩu không quá lớn thì có thể brute-force (rainbow) bằng cách dò các chuỗi gốc cho đến khi kết quả đúng bằng bản tin đã mã hoá cho trước.
- Ý cuối cùng thì không hiểu lắm

Bạn đang hiểu lầm vấn đề chăng? DES có liên quan gì ở đây ạ? (nếu nói về symmetric thì AES mới là đang tốt nhất hiện nay).
Còn ở đây là thuật toán Hash mà: SHA-512 mới là lựa chọn chứ.
Còn:

- Để đọc được nội dung giải mã, cần phải biết được mã khoá của bản tin đó (khoá đối xứng, bất đối xứng) còn với dạng băm (một chiều) thì chỉ có cách duy nhất là crack thuật toán hoặc "bó tay". Nếu bản tin đó là một chuỗi mật khẩu không quá lớn thì có thể brute-force (rainbow) bằng cách dò các chuỗi gốc cho đến khi kết quả đúng bằng bản tin đã mã hoá cho trước.

Tui cũng chịu không rõ bạn đang nói gì smilie

[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT	19/01/2010 22:31:13 (+0700) \| #37 \| 203598

quocviet1024
Member

Joined: 07/06/2007 00:14:10
Messages: 6
Offline

hvthang wrote:

Bạn đang hiểu lầm vấn đề chăng? DES có liên quan gì ở đây ạ? (nếu nói về symmetric thì AES mới là đang tốt nhất hiện nay).
Còn ở đây là thuật toán Hash mà: SHA-512 mới là lựa chọn chứ.

À xin lỗi bạn, ý mình lúc đó là thuật toán RSA. Vì đang nghĩ là nói đến các thuật toán mã hoá, chung, nên tua lua một hồi về mấy cái đó, hee. (đọc đề không kĩ). Nếu chỉ nói về Phương thức mã hoá mật khẩu thì đồng ý là luôn dùng Hash thật. Mà thú thật riêng với phần mã hoá mật khẩu mà bạn chia ý chính nhiều quá thì mình thấy hơi loãng.
Đoạn này thì mình cũng đã rút gọn là: Không có phương thức mà hoá nào gọi là tốt nhất, tuỳ theo hoàn cảnh.

hvthang wrote:

Còn:

- Để đọc được nội dung giải mã, cần phải biết được mã khoá của bản tin đó (khoá đối xứng, bất đối xứng) còn với dạng băm (một chiều) thì chỉ có cách duy nhất là crack thuật toán hoặc "bó tay". Nếu bản tin đó là một chuỗi mật khẩu không quá lớn thì có thể brute-force (rainbow) bằng cách dò các chuỗi gốc cho đến khi kết quả đúng bằng bản tin đã mã hoá cho trước.

Tui cũng chịu không rõ bạn đang nói gì

Nếu chỉ là Hash thì dùng brute-force, sử dụng với rainbow table (bỏ mấy cái có từ: mã khoá, bản tin, bất-đối xứng đi). (cho phần: -"Hiện tại có cách nào "đọc" được nội dung bên trong, một khi sử dụng các phương thức mã hoá trên ?")

Thân.

[Question] quan sát gói tin trong mạng LAN	19/01/2010 23:28:19 (+0700) \| #38 \| 203600

WinDak
Researcher

Joined: 27/01/2002 11:15:00
Messages: 223
Offline

B 0 0 B wrote:

thuật toán của nó vẫn có thể bị collision thường bị hiểu lầm là "giải mã

collision ở đây là gì anh, khi nào bị?

Xin trả lời hộ anh conmale...

Collision nôm na có thể giải thích thế này.

Bạn có 1 chuỗi S, H(S) là hash của S, collision sảy ra khi tồn tại 1 chuỗi S' sao cho :
1) S' khác S
2) H(S') = H(S)

Collision luôn luôn có thể sảy ra, vì chuỗi S của bạn có độ dài vô tận, trong khi chuỗi H(S) thì limited length.
Tính bảo mật của các thuật toán hashing có phụ thuộc vào độ chống collision của nó. Ví dụ đơn giản là cho 1 chuỗi s, để tìm ra s' thì bạn cũng phải tốn hàng tỉ năm...

md5 là một trong những crypto hash bị collision, bạn có thể google để biết thêm, tuy nhiên một số nhận định cho thấy thì tuy bị collision, md5 vẫn an toàn cho đa số các trường hợp, nên mình nghĩ chắc vẫn còn xài được dài dài.

-- w~ --

[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT	09/11/2012 19:59:27 (+0700) \| #39 \| 270855

tientung_vt
Member

Joined: 30/10/2012 20:57:47
Messages: 8
Offline

các bác cho e hỏi thêm chút là khi dùng md5 hay sha-1 hay sha-2 mà cộng thêm salt thì liệu dò có ra dc pass không ạ?

[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT	06/01/2013 06:27:01 (+0700) \| #40 \| 272481

tam_su_hoc_dao
Member

Joined: 02/01/2007 07:14:36
Messages: 3
Offline

Cảm ơn bác, tuy nhiên ý em là khi ông không có thẩm quyền đó lấy được cái giá trị hash "loằng ngoằng" đó thì ông ấy chuyển luôn cho máy chủ xác thực (không cho ứng dụng hash tiếp). Vậy thì vẫn hợp lệ chứ ạ.

Có phải hvthang đang nói đến kiểu tấn công gần giống với "Pass The Hash" không ? Mong được mọi người chỉ giáo.

http://en.wikipedia.org/wiki/Pass_the_hash

Mình xin lỗi vì đã đào topic này lên !

Xin lỗi vì đã ko tìm kỹ trước khi post bài này. Đã có hẳn 1 topic bàn về kiểu tấn công này. Mình gửi link lên đây cho những ai quan tâm tiện theo dõi:

/hvaonline/posts/list/35603.html

[Question] quan sát gói tin trong mạng LAN	06/01/2013 21:42:21 (+0700) \| #41 \| 272487

nvhbk16k53
Member

Joined: 26/11/2008 16:30:14
Messages: 18
Location: Hà Nội
Offline

WinDak wrote:

B 0 0 B wrote:

thuật toán của nó vẫn có thể bị collision thường bị hiểu lầm là "giải mã

collision ở đây là gì anh, khi nào bị?

Xin trả lời hộ anh conmale...

Collision nôm na có thể giải thích thế này.

Bạn có 1 chuỗi S, H(S) là hash của S, collision sảy ra khi tồn tại 1 chuỗi S' sao cho :
1) S' khác S
2) H(S') = H(S)

Collision luôn luôn có thể sảy ra, vì chuỗi S của bạn có độ dài vô tận, trong khi chuỗi H(S) thì limited length.
Tính bảo mật của các thuật toán hashing có phụ thuộc vào độ chống collision của nó. Ví dụ đơn giản là cho 1 chuỗi s, để tìm ra s' thì bạn cũng phải tốn hàng tỉ năm...

md5 là một trong những crypto hash bị collision, bạn có thể google để biết thêm, tuy nhiên một số nhận định cho thấy thì tuy bị collision, md5 vẫn an toàn cho đa số các trường hợp, nên mình nghĩ chắc vẫn còn xài được dài dài.

Theo mình biết thì có 2 loại đụng độ (collision): 1 gọi là đụng độ yếu định nghĩa như bạn nói, 1 gọi là đụng độ mạnh được định nghĩa như sau:
Với mọi chuỗi S (thuộc một bảng chữ cho trước), H(S) là giá trị hash của S, đụng độ sảy ra khi tìm được một chuỗi S' sao cho H(S') = H(S).

Go to:

Users currently in here
1 Anonymous