Password criptate

Ciao a tutti!

Sempre nel forum phpBB, quando un utente si registra tutti i suoi dati vengono salvati nella tabella users mi pare. Quella user e quella password vorrei riutilizzarli per altri servizi nel sito, ma il forum salva la pass criptata. Qualcuno sa come decriptarla per poterla confrontare con quella immessa dall'utente per il login?

Grazie!

L'algoritmo per criptare la password usata dal phpBB2 é, se non erro, l'MD5.
Fortunatamente (o sfortunatamente a seconda dei casi), un algoritmo di decodifica non é stato ancora inventato.
Puoi risolvere il problema criptando la password immessa dall'utente per il login con lo stesso algoritmo e vedere se la sequenza di caratteri che risulta é la stessa del database.

Fortunatamente (o sfortunatamente a seconda dei casi), un algoritmo di decodifica non é stato ancora inventato.

A no?

MD5 è solo una chiave di integrità, e non un algoritmo di criptazione vera e propria, viene utilizzato all'interno del PGP per generare chiavi asimmetriche.
PGP è un algoritmo a chiave di 128 bit, molto complesso, usato anche in PHP in modo nativo, è ovvio che si può crackare.
Dipende molto dall'hardware e dal tempo, in particolare Ugo Tartaglino dell'INFM, dice che se la chiave è scelta in un intervallo limitato (tra le parole di un dizionario) è abbastanza facile trovarla in tempi brevi.

il mio problema è vedere se l'utente ha scritto la password giusta, non mi interessa craccare la password. Questo algoritmo MD5 è una cosa impossibile da scrivere?

ciao!

[Ghibli]

il mio problema è vedere se l'utente ha scritto la password giusta, non mi interessa craccare la password. Questo algoritmo MD5 è una cosa impossibile da scrivere?
ciao!

Devi agire come ti è stato suggerito:
fai un form con username e password
assegni ad una variabile il valore del campo password criptato in MD5
controlli se questa variabile è uguale al valore della colonna password contenuto nella riga con la username digitata nel form...
facile no? :D

Spero... appena provo te lo so dire...
Cmq x criptare in md5 (guardando le sorgenti del forum) basta fare:

Variabile_criptata=md5(Var_password);

Giusto?

[Ghibli]

si ricordati le "$" davanti qualsiasi variabile :)

Si si, ovvio! Thanks!

Ecco qualcosina nel caso vogliate sapere qualcosa di piu' su MD5 e la crittografia.

Esistono due tipi di crittografia: tattica e strategica.

Tattica e' quella crittografia che deve proteggere i dati per un tempo limitato. Ad esempio: dovete inviare l'ordine di avanzare ad una colonna di carri armati, non userete certo una chiave complicatissima a milioni di bit, perche' rallentereste il processo di cifratura e decifratura per niente. Quanto puo' durare la sicurezza del massaggio? Un'ora massimo? Allora userete una chiave piu' leggera che vi permettera' di cifrare in tempo reale la comunicazione e alle vostre truppe di decifrarla con uguale velocita'. Il nemico di certo non ce la fara' a crakkare la vostra chiave in meno di un'ora (sempre se avete fatto i calcoli giusti, ovviamente!)

La crittografia strategica, invece, e' quella che permette di proteggere i dati per un tempo lungo. Se avete dei documenti che volete proteggere per anni da occhi indiscreti, userete una chiave lunghissima, pesantissima e che richieda qualche milione di anni per essere crakkata e magari qualche ora per essere decifrata dal legittimo proprietario. Ma tanto non avete fretta.

Riky se vuoi decifrare le password quello che ti serve e' una crittografia strategica... auguri!

MD5 e', invece, un cosiddetto algoritmo di HASH. In pratica crea un riassunto ("impronta") della chiave inserita che e' assolutamente unico ed irreversibile. Per farlo utilizza una cosiddetta "funzione trabocchetto", cioe' una funzione matematica di cui non si conosce (per ora) la funzione inversa. Teoricamente c'e' ma non si e' ancora trovato un modo pratico per attuarla. Il film Codice Mercury, se non ricordo male, era basato proprio sull'idea che un ragazzino fosse riuscito a trovare questa funzione inversa, vanificando di fatto tutta la sicurezza del mondo.

La maggior parte di software in commercio (Windows incluso) non esegue una decifratura della password ma confronta direttamente le versioni cifrate.

Riky questo e', come ha giustamente detto numerone, la soluzione migliore anche per te.

sugandbibi, e' vero che l'algoritmo usato da PGP (RSA o DSS) si puo' crakkare, ma MD5 mi pare richeda ancora qualche migliaio di anni. Risulta anche a te?

Un'ultima nota: FATE ATTENZIONE AI PROGRAMMI DI CIFRATURA!!!!!!

Programmi come PGP o altri sono buonissimi, ma spesso hanno dentro un sistema di Key Recovery, cioe' un sistema per crakkare il vostro messaggio senza troppa difficolta'!
Tutti questi sistemi sono stati voluti, e sottolineo VOLUTI, dal Governo americano tramite lo ITAR (International Traffic in Arms Regulations) che proibisce la vendita di qualunque tipo di algoritmo FORTE fuori dell'America, perche' considerato Arma di importanza strategica. In pratica tutti i sistemi di cifratura americani O SONO VOLUTAMENTE DEBOLI O HANNO DELLE BACKDOOR (PGP incluso). Valga come esempio la storia del DES, algoritmo creato dalla IBM in collaborazione con l'NSA (hahaha) la quale lo ha volutamente indebolito la chiave portandola da 128 bit a soli 56 per essere sicura di poterla crakkare in ogni momento. Questo accadeva nel 1977 e fino al 1997 l'NSA tramite molte industrie di sicurezza americane ha sempre sotenuto che il DES era inattaccabile. C'e' voluto lo sforzo di milioni di hacker in tutto il mondo e nello stesso momento per dimostrare che il DES era attaccabile in soli 140 giorni.
Nel 1998 la EFF (Electronic Forniter Foundation) costruisce DES CRACKER un computer che sfonda nuovamernte il DES (che l'NSA si ostinava ancora a pubblicizzare come sicuro) in meno di 56 ore.
E' stato dimostrato che l'NSA possedeva una macchina simile fin dalla meta' degli anni 80.

L'NSA non ha mai ammesso di avere volontariamente indebolito il DES, ha semplicemente creato un'altro algoritmo... che giura essere sicurissimo.

A voi ogni commento.

E ricordate: qualunque sia la compelssita' di una chiave o la potenza di calcolo di un computer, ci saranno sempre uomini che con il loro ingegno riusciranno a crakkarla. Questi uomini sono i veri Hackers. E' grazie a loro che la tecnologia va avanti.

Scusate: ho scritto veramente troppo!

---

Master of Darkness

Crescent of Darkness

E ricordate: qualunque sia la compelssita' di una chiave o la potenza di calcolo di un computer, ci saranno sempre uomini che con il loro ingegno riusciranno a crakkarla. Questi uomini sono i veri Hackers. E' grazie a loro che la tecnologia va avanti.

Certo che se il lavoro di un hacker fosse solo quello di decifratura staremmo freschi.
Il mondo non si divide necessariamente in buoni e cattivi, codificatori e decodificatori.
Sono sicuramente Hacker anche Thorvalds e Stallman, anche se non hanno mai decodificato nulla e mai ci penserebbero a farlo.
Sono hacker tutte quelle persone che hanno inventato il TCP/IP ad esempio ed il binding.
Sono hacker tutte quelle persone, che hanno voglia di costruire e non di distruggere, per se stesse e per gli altri, sono hacker quelle persone che ogni giorno entrano nei forum come questi, ed aiutano gli altri a crescere un po di più.
Ciao.

SI' Si' Si' SI'... :D :D :D

Volevo dire esattamente questo!

La frase andava scritta, forse:

E' grazie ai veri Hackers che la tecnologia va avanti.

la crittanalisi e' solo un aspetto, per altro a volte pallosissimo !!

P.S.: se per caso qualcuno avesse visto il mio sito chiedo scusa per lo squallore. Sta' su con lo scotch (il nastro adesivo, non l'alcolico), ma e' circa un mese che e' attivo e sto ancora trasferendo files. Come se non bastasse il mio tester e' troppo impegnato per lavorare e il mio acquisitore delira piu' del solito... :?

Abbiate pazienza! :)

---

Master of Darkness

Crescent of Darkness

Ehm... Suga... è normale per te che con opera quando entro in un thread dove hai postato tu mi compaia una finestra con scritto ciò?

[code:1:d0355f0b0e]Avviso di sicurezza:

Stai per visitare un indirizzo contenente un nome utente.

Nome utente: sugandbibi
Server: sugandbibi.altervista.org

Sei sicuro di voler continuare?[/code:1:d0355f0b0e]

Lo fa solo con te eh!!

Dai test effettuati risulta che sugan messo come indirizzo dell'avatar http://sugandbibi@sugandbibi.altervista.org/indirizzo
Secondo la logica dei protocolli questo equivale ad un login ed é di fatto potenzialmente pericoloso.
Semplicemente Opera avvisa di ciò :D

Grrrr.... io mi chiedo a che gli serve sta cosa!!!

[Greenant]

Non voglio fare polemica.

Dire che ci vogliono milioni di anni a crakkare una password md5 è un po vago ed esagerato. Dipende dalla potenza di calcolo, dal programma utilizzato, dal charset utilizzato e soprattutto dalla lunghezza della password.
Una password di 5 caratteri te la cracco in 5 minuti, una di 15 caratteri, in qualche secolo ( su 1 GHz)

Quindi scegliete sempre password lunghe

Non voglio fare polemica.

Per carita', nessuna polemica: siamo qui per discutere no?

Come gia' detto, da quel che mi risulta MD5 non e' un sistema ci cifratura di una password, ma un algoritmo di hash e si basa su una funzione matematica di cui in teoria si conosce l'inverso ma in pratica non e' implementabile in maniera efficiente.

Nella fattispecie per MD5: esistono metodi velocissimi per stabilire se un numero (anche enorme) e' primo, ma se moltiplichi due numeri primi da un centinaio di cifre ciascuno tra loro non ci sono metodi veloci per risalire dal risultato ai fattori.

Inoltre non dipende dalla lunghezza della password perche' MD5 restituisce sempre una stringa di 32 bit.

Comunque forse sono rimasto indietro puo' darsi benissimo che qualcuno sia riuscito a decrittare MD5: come gia' detto ho piu' fiducia nell'ingegno umano che nella capacita' di calcolo di una macchina.

Se e' cosi vi prego DITEMELO! Cosi' mi aggiorno! :D

Ciao !

---

Master of Darkness

Crescent of Darkness

[Greenant]

MD5 : RFC1321

L'md5 non si basa sul prodotto tra 2 numeri primi ma su una serie di funzioni ( ff, gg, hh, ii, ) che vengono applicati alla parte da criptare 64 byte per volta ( penso 64)

Lo so perchè sto scrivendo un programma per decrittare queste password e mi sono dovuto imparare bene tutto il meccanismo

Come non detto...

Evidentemente la documentazione che ho io si riferiva ad un esempio generico di funzione trabocchetto... controllero'!

Mi piacerebbe imparare di piu' sul meccanismo di MD5, sai dove posso trovare qualcosa a riguardo ??? ?

Inoltre @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ (se si puo', ovviamente!), sono curiosissimo !!


Ciao!

---

Master of Darkness

Crescent of Darkness