I kursmomenten (dbowebb) används MD5 som algoritm för att skapa en hash av ett lösenord. Ett traditionellt sätt att cracka en MD5 hash är via "dictionary attacks" och "rainbow tables". Testa att använda en webbtjänst för att cracka de två hashar som jag använder till lösenord i övningen. Hasharna är skapade med MySQL´s MD5 funktion.
mysql> select accountUser, passwordUser from rmp12_User;
+-------------+----------------------------------+
| accountUser | passwordUser |
+-------------+----------------------------------+
| mikael | 1a2806367d23c7884dfde273882ad6a9 |
| doe | 2829fc16ad8ca5a79da932f910afad1c |
+-------------+----------------------------------+
2 rows in set (0.01 sec)
Ta respektive hash (passwordUser) och mata in i följande webbtjänst:
http://gdataonline.com/seekhash.php
Klarade den av att se lösenorden 'doe' och 'hemligt'? Troligen...
För att kunna genomföra en sådan här attack krävs tillgång till de lagrade lösenords-hasharna. Ett sätt att försvåra denna typen av attacker är via ett salt. Följande artikel beskriver en sådan teknik.
http://phpsec.org/articles/2005/password-hashing.html
Vill du veta mer om problematik med säkra lösenord? Börja isåfall att läsa på Wikipedia.
http://en.wikipedia.org/wiki/Password_cracking
http://en.wikipedia.org/wiki/MD5
Webbprogrammerare på Prisjakt
-
"...i våras fick Johan, en Webbprogrammerare av den allra första kullen,
jobb på företaget. Nu, knappt ett år senare, hör jag av mig till Johan och
hans ch...
10 år sedan
Inga kommentarer:
Skicka en kommentar