[PHP] MD5 gehackt

BalusC schreef op maandag 19 januari 2009 @ 00:57:
Volgens mij is iemand jou in zeik aan het nemen.

MD5 is niet makkelijk te ontcijferen met gratis tools hoor

Storm90 schreef op maandag 19 januari 2009 @ 00:54:
Erg leuk dat ze me hacken, ik heb mijn router en alles sterk afgeschermd met wachtwoorden van circa 15 tot 20 karakters en allemaal verschillende soorten karakters. Dus ik weet niet hoe en of ze dit leuk vinden, maar goed...

Nu is mijn vraag, is er een betere beveiliging dan md5? Dit voor eventueel mijn eigen sites..,
En het is natuurlijk altijd erg fijn om te weten.,

Storm90 schreef op maandag 19 januari 2009 @ 01:01:
Toch heb ik het in http://www.md5decrypter.com/
ingevuld en binnen 10 seconden had ik het wachtwoord. Proberen in te loggen en het werkte

[ Voor 16% gewijzigd door gertvdijk op 19-01-2009 01:16 ]

Johnny schreef op maandag 19 januari 2009 @ 01:11:
maar wat veel meer effect heeft is salts gebruiken met je wachtwoorden voordat je ze hasht zodat je er vrij zeker kan zijn dat ze niet in rainbow tables voorkomen of snel doormiddel van brute forcing zijn te achterhalen.

Storm90 schreef op maandag 19 januari 2009 @ 01:15:
Oke, ze hebben dus niets ontcijfert oid zeggen jullie, dat is duidelijk.

Storm90 schreef op maandag 19 januari 2009 @ 01:15:
Het zou dus mogelijk zijn dat ze er toevallig op konden door mijn ipadres in een browser in te vullen en zo erin te komen?

Storm90 schreef op maandag 19 januari 2009 @ 01:15:
En dat wachtwoord zulle ze dan waarschijnlijk per toeval hebben geraden dan.., Ik had daar wel een slap wachtwoord voor namelijk., en geen admin4321 dat is verandert

Saven schreef op maandag 19 januari 2009 @ 01:13:
admin4321 is dan ook niet echt een moeilijk wachtwoord

DRAFTER86 schreef op maandag 19 januari 2009 @ 01:19:
[...]


Hehe je hebt de moeite genomen om die hash over te typen?

Ontopic:
Indien je wachtwoorden gebruikt die mogelijk in een password-list voorkomen is het gebruik van md5 natuurlijk vrij zinloos. Dat betekent niet dat md5 gehackt is, wel dat je wachtwoorden gebruiken die niet zo voor de hand liggen.

Storm90 schreef op maandag 19 januari 2009 @ 01:24:
[...]

Haha excuseer, maar Admin1234** raad je tog niet zomaar, bdoel de sterretjes..,

Het blijft simpel maar dan tog..,


[...]


Ja logisch. Maar ik dacht dit gaat alleen maar als ik de poort in bv. 83 verander en die niet forward in de router..,

MrJey schreef op maandag 19 januari 2009 @ 08:41:
Waarom geen SHA-1 wachtwoord beveiliging, die is 160bits

Voutloos schreef op maandag 19 januari 2009 @ 09:17:
[...]
Je zou ook het topic kunnen lezen om Het Echte Probleem te zien, ipv enkel blindelings een ander algo te roepen zodra je enkel MD5 ziet staan.

[ Voor 3% gewijzigd door Zakkenwasser op 19-01-2009 09:25 ]

[ Voor 8% gewijzigd door Verwijderd op 19-01-2009 09:24 ]

Storm90 schreef op maandag 19 januari 2009 @ 01:42:
Ja, maar nu ik kijk naar mijn VMWARE, deze stond nog gewoon op het standaard wachtwoord admin. Dit is ERG stom maar nu wist ik dit niet meer omdat ik tijden niet meer heb hoeven inloggen (automatische login). Deze vmware heb ik gewoon van het schoolnetwerk gekopieerd, hoef ik hem niet helemaal te installeren. Maar ja, wij gebruikte het eerst ook alleen maar voor wat toetsjes en simpele opdrachten. Maar dan nog hoeft dit niets uit te maken, want Remote staat niet aan, verder beschikt hij ook niet over remote programma's en mijn router heeft een erg sterk wachtwoord.., Denk dus niet dat ze mijn vmware over hebben kunnen nemen, toch moet het, aangezien mijn care2x niet online staat??? En ik kon net plotseling niks meer en na resetten gaf hij een melding dat ik veranderingen in het opstarten heb aangebracht?
De vmware staat btw gekoppeld aan mijn draadloze netwerkkaart van mijn laptop..,

offtopic:
Laat me raden je zit op de "School voor ICT" / ROC Eindhoven frederiklaan etage 6 Die images die de " systeembeheerders " daar maken zijn zo brak. Gewoon zelf XP installeren is maar half uurtje werk als je het thuis op een goeie pc doet.

Ik zou je niet al te druk maken over de beveiliging om care2x omdat het een groot but systeem ( om het maar bot te zeggen)

Dima_2005 schreef op maandag 19 januari 2009 @ 18:14:
Nuja, voor extra veiligheid doe ik dit:
SHA1(MD5($password.$username))
Zo heb je direct 2 beveiligingen en ook nog zit de username en password bij elkaar waardoor het nog minder waarschijnlijk is dat het in een database staat (en dus ook gedecrypted is)...

Dima_2005 schreef op maandag 19 januari 2009 @ 18:14:
Nuja, voor extra veiligheid doe ik dit:
SHA1(MD5($password.$username))
Zo heb je direct 2 beveiligingen en ook nog zit de username en password bij elkaar waardoor het nog minder waarschijnlijk is dat het in een database staat (en dus ook gedecrypted is)...

Dima_2005 schreef op maandag 19 januari 2009 @ 18:14:
Nuja, voor extra veiligheid doe ik dit:
SHA1(MD5($password.$username))
Zo heb je direct 2 beveiligingen en ook nog zit de username en password bij elkaar waardoor het nog minder waarschijnlijk is dat het in een database staat (en dus ook gedecrypted is)...

MD5() break-in
Using MD5 we have
MD5(x) = y

We suppose that the attacker has y
To get the value x using brute force, if we have a hash collision, it will help us.
Anything that the attacker obtains could be useful.

MD5(MD5())
Let’s make a “small” comparison

16^32 combinations = 340.282.366.920.938.463.463.374.607.431.768.211.456 possible hashes
35^14 combinations = 4.139.545.122.369.384.765.625 possible passwords (considering a safe password)

I can’t really tell what’s the hash collision percentage and indeed when the second hashing is done the number of hash collisions is greater.
Though there is hash collision, we have quite a big number of resulting hashes ( 16^32 ) for the input ( 35^14 ). So i think that hash collision should not be a problem here.

We still have the questions:

When would the hash collision decrease the brute force time required?
When the number of possible hashes * time to generate a hash would be smaller. Right?

Let’s suppose that the time to do a MD5(MD5(x)) is 2 time longer than MD5(x).
And the number of possible MD5(MD5(x)) hashes is 2% smaller (because of hash collision).

Legend:
H - the number of possible hashes
V - time needed to generate a MD5(x)

for MD5(x) we have
H * V = C1

for MD5(MD5(x)) we have
H * 0.98 * V * 2 = C2

0.98 is 98%, because of hash collision
2 is 2 times the time needed to encrypt MD5(MD5(x)) compared to MD5(x)

C1 < C2
because
H * V < H * 0.98 * V * 2
H * V < H * V * 1.96
C1 is a lot smaller than C2

MD5(MD5(x)) is more time consuming than MD5(x) and maybe safer.
And i think that 2% is percent too high.