vovannovigДобрый день.
Скажите пожалуйста как можно дехешировать пароль из базы?


Смысл хешировать, если его можно вот так просто развернуть обратно? =)))

Вот у меня пароль 5 символов, а хеш - 16.
А тут у меня текст на 100500 символов, а хеш - 16. Могу я из 16 символов развернуть обратно свой текст на 100 кб? Навернео ж нет. А то просто идеальный архиватор получается ;)

servit vovannovig ,

О скоростях перебора паролей на CPU и GPU
Это к чему?


vovannovigНет я не хацкер,просто досталось вот такое счастье и руководство поставило задачу восстановить все пароли без их замены(зверей очень много...)

Так вот по внешнему виду хеша,чем его можно поковырять?)))
Ну если ты не врешь, то начальство видать недоперепило.
Хеширование (как выше уже говорилось) применяется как раз для того, чтобы НЕ хранить паролей и не иметь возможности их получить.
И вдруг начальство решило пошутить...
Ну что ж - у тебя есть возможноссть доказать, что ты самый ловкий в мире и за адекватное время умудрился подобрать текст не под один хеш, а под целую пачку! Как только это у тебя получится - ты будешь на расхват и можешь забыть о своем начальстве (при желании даже купить его с потрохами и заставить ботинки себе по утрам вытирать). ;)

Onix_nologКлассический "взломщик" паролей, ето John The Ripper , гугль в помошь, ссылок тьма. Если уже совсем напряг будет, то сформируете файлы и натравите его на подбор.
Смысл? Паролей, которые дают такой же хеш - тьма. Скорее всего ты подберешь не то, что было. Спрашивается, зачем ты мучался, если можно просто сгенерить произвольный пароль и выслать пользователю "Ваш новый пароль" - результат тот же.

vovannovigвернее имея хеш можно ли войти в систему зная алгоритм его получения и сам хеш.
Подбором

Может у него уже задача изменилась и он хочет оценить, какой сложности пароль подобрать реально, а какой - нет.

vovannovigEdd.DragonМожет у него уже задача изменилась и он хочет оценить, какой сложности пароль подобрать реально, а какой - нет.
Вот именно это теперь и интересно,сколько требуется времени,какими средствами...

Оригинальный пароль ведь не нужен если есть возможность заходить под другим который дает такой же хеш,а это уже 2й вариант развития событий...
В этом одна из задач алгоритмов хеширования. Стремящаяся к нулю вероятность коллизий.
Т.е. других паролей под такой же хеш - бесконечное множество. Но вероятность их найти - стремится к нулю.
Вот почему тематика не тривиальна и эти алгоритмы не плодятся каждый день новые.

Ты вот лучше скажи, сколько примерно нужно перебрать вариантов, чтобы подгадать пароль? И какой нормальный сайт позволит так себя "заддосить" подборщику паролей? Только если ты не предусмотрел блокировку после нескольких неправильных попыток угадать пароль некоторого пользователя.

Тогда другой вариант - злоумышленник получил ftp-доступ, стянул исходники, определил как у тебя там хешируется (какими алгоритмами в какой последовательности и с какой солью) и уже у себя воспроизводит эту последовательность сколько душе угодно. Но значит - у него есть и сам хеш, полученный из БД. Т.е. он имеет доступ к БД? Тогда он банально подменяет хеш на другой, если вообещ в этом еще есть смысл.

Т.е. внимание следует уделить в первую очередь защите доступа к файлам и БД. А так же блокировать многочисленные попытки авторизации (хотя бы на несколько минут, что напрочь перечеркивает возможность подбора).