[md5] Decrypt sinds? - Softwareontwikkeling

vrijdag 31 augustus 2007 15:39

Acties:

Verwijderd

Topicstarter

Hee Gatherers,

Ik heb altijd begrepen dat md5 op geen enkele weize terug te draaien is, alleen doormiddel van brute-force zal je de 32 lange hash kunnen begrijpen. Altans dat is wat ik er van had begrepen.

Ik hoop dat jullie het nog met me eens zijn.

Nu kom ik een website tegen op internet wat mijn verbazing trekt: klik - Hier hebben ze een tool waarmee ik mijn md5 hash kan decoden!?

Als ik nu op php.net ga neuzen kan ik hier geen nieuws over vinden dat dit in middels kan.

Hoe doen ze het dan op die website? Want het klopt echt!?

vrijdag 31 augustus 2007 15:40

Acties:

TeeDee

CQB 241

Goedemorgen

http://tweakers.net/archieven?keyword=md5

edit: Hmm, vraag me af of mijn link wel relevant is. Dat is meer over collisions.

[ Voor 41% gewijzigd door TeeDee op 31-08-2007 15:43 ]

Heart..pumps blood.Has nothing to do with emotion! Bored

vrijdag 31 augustus 2007 15:40

Acties:

farlane

md5 is een hash en geen encryptie. Het is dan ook onzin om van decrypten te spreken.

Somniferous whisperings of scarlet fields. Sleep calling me and in my dreams i wander. My reality is abandoned (I traverse afar). Not a care if I never everwake.

vrijdag 31 augustus 2007 15:41

Acties:

Snake

Los Angeles, CA, USA

Neen, je kan geen md5 hash decoden (hence the name, it's a hash!), je kan geen data terug tevoorschijn toveren!

Wat wel kan, is een collision zoeken via de Rainbow Tables

Going for adventure, lots of sun and a convertible! | GMT-8

vrijdag 31 augustus 2007 15:44

Acties:

Verwijderd

Topicstarter

Ok dus het is een "collision", maar dat die website mijn hash zo omtoverd betekend dus niet dat dit voor elke hash werkt?

vrijdag 31 augustus 2007 15:44

Acties:

Optix

Verwijderd schreef op vrijdag 31 augustus 2007 @ 15:39:
Hee Gatherers,

Ik heb altijd begrepen dat md5 op geen enkele weize terug te draaien is, alleen doormiddel van brute-force zal je de 32 lange hash kunnen begrijpen. Altans dat is wat ik er van had begrepen.

Ik hoop dat jullie het nog met me eens zijn.

Nu kom ik een website tegen op internet wat mijn verbazing trekt: klik - Hier hebben ze een tool waarmee ik mijn md5 hash kan decoden!?

Als ik nu op php.net ga neuzen kan ik hier geen nieuws over vinden dat dit in middels kan.

Hoe doen ze het dan op die website? Want het klopt echt!?

Heb je het wel getest?? De website geeft heel mooi 'No conversion available' aan

.

vrijdag 31 augustus 2007 15:45

Acties:

TeeDee

CQB 241

and decrypt most common MD5 hashes ( the list is ever increasing )

Heart..pumps blood.Has nothing to do with emotion! Bored

vrijdag 31 augustus 2007 15:47

Acties:

Verwijderd

Topicstarter

Optix schreef op vrijdag 31 augustus 2007 @ 15:44:
[...]

Heb je het wel getest?? De website geeft heel mooi 'No conversion available' aan

Als je een md5 hash van een lege string neer zet krijg je die error inderdaad, dat had ik ook algezien

En absoluut dat ik hem getest heb, mijn md5 hash van mijn eigen wachtwoord!

En ja, dat deed hij prima..

Maar in elk geval bedankt voor jullie reactie, ik snap nu hoe het gedaan is!

vrijdag 31 augustus 2007 15:50

Acties:

Voutloos

Dat weet je nu dat je wachtwoord niet echt goed is. Let ook op het nut van een salt, dankzij een salt kan je op dusdanig lange strings komen dat het niet feasible is om van tevoren een rainbow tabel aan te leggen.

{signature}

vrijdag 31 augustus 2007 15:51

Acties:

AW_Bos

Liefhebber van nostalgie... 🕰️

Zo te zien doen ze dit Brute-force, en ook met een woordenboek erbij met meest gebruikte woorden.

'Test' vindt hij zo, 'lala' ook, maar 'lalal' weer niet. En 'hello' weer wel, terwijl 'lalal' en 'hello' even lang zijn. Dus er wordt gebruikt gemaak van bruteforcing tot 4 tekens (wat met PHP in een paar seconden al kan worden gedaan) en dan zoekt hij ook nog in het woordenboek

.
Tot zo ver mijn conclusie....

☎ Telecommunicatie van vroeger
🚅Alles over spoor en treintjes

vrijdag 31 augustus 2007 15:51

Acties:

Verwijderd

Die website ken ik wel, als je een tekst invoert slaat ie die meteen op, dus als je die dan 'decrypt' kan ie em vinden.

Maar via rainbow tables zijn collisions wel te vinden, stel je hash dus uit zoveel mogelijk gegevens samen.

vrijdag 31 augustus 2007 15:51

Acties:

Verwijderd

Verwijderd schreef op vrijdag 31 augustus 2007 @ 15:47:
[...]

Als je een md5 hash van een lege string neer zet krijg je die error inderdaad, dat had ik ook algezien
En absoluut dat ik hem getest heb, mijn md5 hash van mijn eigen wachtwoord!

En ja, dat deed hij prima..

Maar in elk geval bedankt voor jullie reactie, ik snap nu hoe het gedaan is!

Ja, als je van een string de md5-hash vraagt voegt hij hem waarschijnlijk ook automatisch toe aan de database. Als je hem dan wil decrypten is hij natuurlijk makkelijk te herleiden tot je wachtwoord

vrijdag 31 augustus 2007 15:59

Acties:

.oisyn

Moderator Devschuur®

Demotivational Speaker

Verwijderd schreef op vrijdag 31 augustus 2007 @ 15:47:
En absoluut dat ik hem getest heb, mijn md5 hash van mijn eigen wachtwoord!

En ja, dat deed hij prima..

Like, duh, je had zeker eerst je wachtwoord ingevuld, en daarna op MD5 encode geklikt? Op dat moment zet hij die string+hash in de database, zodat hij 'm daarna weer kan decoden. Als ik een hash bereken met php (bijvoorbeeld van "asdfghjkl1234567890"), en die daar invoer, dan vind ie niets. Gooi ik vervolgens "asdfghjkl1234567890" daarin, doe ik "MD5 encode", en daarna weer die hash en "decode", dan kent ie 'm ineens wel. Go figure

[ Voor 5% gewijzigd door .oisyn op 31-08-2007 15:59 ]

Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.

vrijdag 31 augustus 2007 16:17

Acties:

? ?

Het zijn geen collisions
Zoals gezegd: ze hebben gewoon een woordenboek met veelvoorkomende woorden en hun MD5 hashes
En voor elke nieuwe MD5 hash dat berekend wordt op de site, slaan ze ook de MD5 en string op in hun database.

test:
- decode van 6c84fc1866a1e06faab09e2271ad7c2c : "tweakersrulen"
- niets gevonden

- encode van "tweakersrulen" op hun site en daarna decode van bovenstaande hash levert "tweakersrulen" op

vrijdag 31 augustus 2007 16:29

Acties:

.oisyn

Moderator Devschuur®

Demotivational Speaker

Ja dat zeg ik

Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.

vrijdag 31 augustus 2007 16:32

Acties:

? ?

ah ja ik had maar de helft gelezen en dan reageer je en wil je al dat typewerk niet wissen

vrijdag 31 augustus 2007 16:36

Acties:

robbert

Je kan natuurlijk zelf ook alle mogelijke md5 hashen voor strings van x characters bestaande uit bepaalde tekens genereren

PHP:

function vulTabel(&$tabel, $characters, $lengte, $temp = "") {
    if($lengte <= 0) {
        $tabel[md5($temp)] = $temp;
    } else {
        foreach($characters as $char)
            vulTabel($tabel, $characters, $lengte - 1, $temp.$char);
        vulTabel($tabel, $characters, $lengte - 1, $temp);
    }
}

$tabel = array();
vulTabel($tabel, str_split("abcdefghijklmnopqrstuvwxyz1234567890"), 8);

Helaas heb ik niet genoeg geheugen

[ Voor 3% gewijzigd door robbert op 31-08-2007 16:38 ]

vrijdag 31 augustus 2007 16:37

Acties:

Verwijderd

Je bedoelt rainbow tables?

vrijdag 31 augustus 2007 17:04

Acties:

Glimi

Designer Drugs

robbert schreef op vrijdag 31 augustus 2007 @ 16:36:
....
Helaas heb ik niet genoeg geheugen

Eerder een probleem met recursie dan dat je geheugen volloopt

vrijdag 31 augustus 2007 17:09

Acties:

gorgi_19

Kruimeltjes zijn weer op :9

Plus dat je nog een x- aantal karakters vergeet, zoals !@#$%^&

Digitaal onderwijsmateriaal, leermateriaal voor hbo

vrijdag 31 augustus 2007 22:47

Acties:

Verwijderd

era.zer schreef op vrijdag 31 augustus 2007 @ 16:17:
Het zijn geen collisions

Het zijn collisions in de zin dat als er twee identieke hashes zijn, hij met geen mogelijkheid kan weten van welke invoer deze is afgeleid; de poul met MD5-hashes in beperkt (32*8 bits), terwijl van alle mogelijke binaire data ongeacht lengte een MD5-hash te prakken valt.

zaterdag 1 september 2007 01:12

Acties:

Skit3000

gorgi_19 schreef op vrijdag 31 augustus 2007 @ 17:09:
Plus dat je nog een x- aantal karakters vergeet, zoals !@#$%^&

Wat dacht je van het verschil tussen hoofd- en kleine letters?

zaterdag 1 september 2007 09:54

Acties:

? ?

-

[ Voor 99% gewijzigd door ? ? op 01-09-2007 09:55 ]

zaterdag 1 september 2007 10:17

Acties:

Voutloos

Verwijderd schreef op vrijdag 31 augustus 2007 @ 22:47:
[...]
Het zijn collisions in de zin dat als er twee identieke hashes zijn, hij met geen mogelijkheid kan weten van welke invoer deze is afgeleid; de poul met MD5-hashes in beperkt (32*8 bits), terwijl van alle mogelijke binaire data ongeacht lengte een MD5-hash te prakken valt.

Een md5 hash is 128 bits, meestal gerepresenteerd als 32 hexidecimale karakters (32*4 bits).

robbert schreef op vrijdag 31 augustus 2007 @ 16:36:
Je kan natuurlijk zelf ook alle mogelijke md5 hashen voor strings van x characters bestaande uit bepaalde tekens genereren
..code..

De code voor het aanmaken van alle hashes is het probleem niet, dat lukt iedereen in /PRG wel.

Het probleem zit hem eerder in de benodigde tijd of ruimte.

{signature}

zaterdag 1 september 2007 10:33

Acties:

YopY

he, nu heb ik zin om uit te vinden hoe lang het duurt om alle combinaties van a-z / A-Z / 1-10 plus speciale karakters te MD5 hashen en op te slaan

. Of tenminste tot 10 stuks.

~26 + 26 + 10 + 5 (ig) = 67 ^ 10 = 1822837804551761449 combinaties (volgens windows calc), maal de tijd die nodig is voor het berekenen van een MD5 hash. Ook nog plus de combinaties van minder dan 10 karakters... veel. Maar met een distributed computing project zou het zo klaar kunnen zijn

.

zaterdag 1 september 2007 10:40

Acties:

we_are_borg

You will Comply

Als men kijk naar de aantal tekens die in een gemiddeld wachtwoord dienen te staan, meestal minimaal 2 maximaal 12. Hoeveel combinaties heb je dan en kan je dan niet een php script schrijven die de combinaties maakt en daar de MD5 van berekend.

You need the computing power of a P1, 16 MB RAM and 1 GB Harddisk to run Win95. It took the computing power of 3 Commodore 64 to fly to the Moon. Something is wrong here, and it wasn't the Apollo.

zaterdag 1 september 2007 10:40

Acties:

Muthas

O+

Je kan niet kiezen welke hash je gaat krijgen

Als jij bijvoorbeeld alle hashes al hebt (stel) behalve 6c84fc1866a1e06faab09e2271ad7c2c moet je misschien wel een miljard inputs proberen voordat je die hash krijgt.

zaterdag 1 september 2007 10:40

Acties:

Gerco

Professional Newbie

YopY schreef op zaterdag 01 september 2007 @ 10:33:
he, nu heb ik zin om uit te vinden hoe lang het duurt om alle combinaties van a-z / A-Z / 1-10 plus speciale karakters te MD5 hashen en op te slaan . Of tenminste tot 10 stuks.

Vergeet je niet mee te rekenen dat je voor alle combinaties tot 10 karakters ook alle strings van 9, 8, 7 etc karakters moet meetellen? Wat je nu hebt is alle combinaties *van* 10 karakters (in een beperkte set), niet *tot*.

[ Voor 39% gewijzigd door Gerco op 01-09-2007 10:41 ]

- "Als ik zou willen dat je het begreep, legde ik het wel beter uit!" | All number systems are base 10!

zaterdag 1 september 2007 10:58

Acties:

Soultaker

Ja, want de som van 36ⁿ voor n tot 10 is wel 3.760.620.109.779.060 terwijl 36¹⁰ slechts 3.656.158.440.062.977 is, of nauwelijks drie procent minder.

Bij dit soort series domineert de laatste term nogal, en het moge duidelijk zijn dat het hashen van echt alle mogelijke wachtwoorden met die karakters bij een lengte van 6, misschien 7, wel stopt. En bij deze getallen ga ik nog alleen uit van letters en cijfers, geen speciale karakters!

Dan kun je beter rainbow tables gaan gebruiken, daarmee kom je een heel stuk verder.

[ Voor 4% gewijzigd door Soultaker op 01-09-2007 11:05 ]