-
28-06-2006, 13:49 #46
postgresql is een zeer goede keuze
no votes
-
-
01-07-2006, 00:51 #47Member
- Registered
- 01/07/06
- Posts
- 8
- iTrader
- 0
- Mentioned
- 0 Post(s)
no votes
-
03-07-2006, 11:03 #48
niet elke encryptie is te kraken hoor, das zever. Bij banken gebruiken ze ook encryptie. MD5 is ook geen goei oplossing als het lokaal is. Iedereen kan direct uw code decompileren en zien dat ge md5 gebruikt, zelf een programma schrijven en die op de db laten runnen, de md5 opvragen en dan de string laten berekenen, totaal niet veilig dus. Op de site van SUN staat er een boek over security. Ge kunt daar ook een framework downloaden speciaal voor uw probleem (JAAS).
http://java.sun.com/javase/technologies/security.jspno votes
-
03-07-2006, 15:39 #49Member
- Registered
- 12/10/02
- Location
- mars
- Posts
- 14,319
- iTrader
- 2 (100%)
- Mentioned
- 0 Post(s)
- Reputation
- 0/0
Ma djeez, denkt iedereen echt dat een md5 string berekenen zo simpel is?
Heb je ooit al een md5 via brute-force proberen hacken, duurt een tijdje ze met een gewone thuispc.
En wel degelijk elke encryptie is te kraken, het moeilijkste is gewoon aan de key geraken.
edit: ik zeg niet dat md5 hier beste optie is ze (nu ek eindelijk doorheb wat bedoeling juist is
). Ma doe nu niet alsof md5 onmiddelijk te hacken is als je de geparsete waarde hebt, das dikke zever.
Last edited by killgore; 03-07-2006 at 16:22.
no votes
-
03-07-2006, 16:45 #50Member
- Registered
- 06/04/06
- Location
- BXL
- Posts
- 4,415
- iTrader
- 1 (100%)
- Mentioned
- 0 Post(s)
- Reputation
- 2/40
Lol, een md5 bruteforcen op een gewoon pc'tje. Tenzij je op ingenieuze wijze een flaw hebt gevonden in het ontwerp van md5 waardoor je het aantal iteraties GRONDIG kunt beperken ben je voor eeuwig en altijd bezig met brute-forcen. Een andere MOGELIJKHEID, bij afwezigheid van een goeie salt, is kwetsbaarheid voor dictionary-attacks dmv rainbow-tables. Maar 'k zeg het: om een cryptografisch veilige one-way hash te kraken moet ge oftewel een genie zijn oftewel een botnet ter uwer beschikking hebben.
Case closed.
edit: Waarmee ik ook niet wil zeggen dat md5 the way to go is bij super top-secret government businesses, want het ontwerp bevat wel degelijk imperfecties. Maar voor een relatief kleinschalig programma met toekomstig publiek van een handvol is md5 (of zelfs een sha-derivaat) meer dan veilig genoeg.
Ter illustratie: Het distributed computingnetwerk van RC5 is al meer drie jaar bezig met het brute-force kraken van een 72bit (!) sleutel, tot dusver zijn ze nog maar aan 0,33% van alle mogelijke combinaties geraakt.Last edited by Messias.; 03-07-2006 at 16:54.
I caught a glimpse and now it haunts me.no votes
-
04-07-2006, 00:04 #51
heel veilig ze manne
, wie had het over kraken? Het nadeel aan MD5 is dat verschillende strings zelfde digest geven. Heb dat lang geleden al getest op een site waarin ge uw MD5 kon ingeven en die berekende dat dan in een cluster, minder dan een minuut later had ik een string die zelfde digest gaf als mijn paswoord.
http://nl.wikipedia.org/wiki/MD5
case closed
En ja ge kunt elke encryptie kraken, maar als ge assymetrische en symmetrische encryptie combineerd heeft een kraker maar een minimum van tijd voor een paswoord te vinden en kan dat dus NIET kraken, wel als hij meer tijd zou hebben maar das nu het geval niet.no votes
-
04-07-2006, 03:33 #52Member
- Registered
- 06/04/06
- Location
- BXL
- Posts
- 4,415
- iTrader
- 1 (100%)
- Mentioned
- 0 Post(s)
- Reputation
- 2/40
Niks te berekenen, dat zijn rainbow tables (kheb het hier nog maar honderd keer gezegd ofzo). Ongelooflijk veel strings met bijhorende hash in een tabel duwen en dan da hash opzoeken en de string weergeven. Gebruik salt en geen last meer van.
En bij élk hash-algoritme zijn er collisions. Aangezien md5 een 128bit hash uitspuwt heb je gegarandeerd een collision na 2^64 keer proberen. Door een aantal imperfecties in het ontwerp valt dit terug te brengen naar 2^48 hashes [1]. Natuurlijk is er ook een heel kleine kans dat ge een collision hebt binnen veel minder tijd, maarja.
Bovendien heb ik nooit gezegd dat md5 suuuuperveilig is, integendeel, ik sprak zelfs tegen dat het the way to go was bij super-beveiligde dingen (zoals bankgegevens). Maar voor deze toepassing is het VEILIG GENOEG. En bovendien wil ik u wel eens nen md5-hash geven, wedden dat ge nooit van uw leven gaat achterhalen wat het origineel was?
Jij doet alsof je over nacht wel eens een md5 hashke kan kraken, dream on.
Last edited by Messias.; 04-07-2006 at 03:39.
I caught a glimpse and now it haunts me.no votes
-
04-07-2006, 10:36 #53
Ja der gaan altijd oplossingen komen voor bepaalde problemen he, ik had het over gewoon MD5 wat over het algemeen het meetste gebruikt wordt.
En wie heeft het over het origineel? Een string met zelfde collision is al goed genoeg. Ik weet wat ik gezien heb en dacht ook dat het zever was maar ik had toch wel een string en veel te snel.
Nog een zwakheid van hashen is de sterkte van het paswoord. Hoe beter uw paswoord hoe moeilijker te vinden.no votes
