PHPhulp.nl PHPhulp.nl
35k+ leden Over PHPhulp Offerte opdracht Contact
F

encode / decode ( uitdaging of vraagje )

Door Fromzon ngl op 15-10-2007 02:33
420 views
Ik gebruik geen MD5.
Ik heb daarom mijn eigen encode / decode systeempje geschreven.
Ik heb een ID en dat encodeer ik naar een groot nummer.
Nu heb ik 2 vragen:
1) Is er op internet ergens een tool te vinden waarmee ik de sterkte ervan kan uittesten?
2) Of is er hier misschien iemand die zich graag eens bezighoudt met mijn eigen gemaakte systeempje te kraken?

Ik wil gewoon weten hoe waterdicht het nu eigenlijk is.

Ik geef je volgende gegevens:

Het eerste ID nummer, na een X-aantal refreshes:

8217623616
821853835
9419810222
9425088792
9222121741
819503060
8419066925
5822727459
3817381278
7416977166
4823530127
9219523436
9424837523
7219523446
9422036905
7818123375
5221263048
10220693293
8822929844
7422919914
8816582510
4218193169
4217712716
6825153395
2822988982
8817610301
3421030549
820800010
6824232735
2422617832
7216233374
7225073619
3420775533
1816765498
8420496293
7820033923
2816681357
6418658186
820385746
7418376693
9817874904


Een tweede ID nummer, weer na een x-aantal refreshes:

8187410843
7188081225
9194954533
4191458034
388557102
5790810402
2191801947
786106731
3191195988
3388935252
7390085420
9787846625
392584169
6186411539
8187370607
2794400001
5789716099
8188383004
4788351111
4386941533
2388454819
3794191868
5386463586
3793762754
7190684208
4187003722
7395807589
1187583548
9790635405
2395625389
6391832071
5786802792
1192431446
4794340237
7790155579
3786627127
5386292478
392120809
7394750289
7791255418
8188941363
1392441235
2394885101
2394548824
8394160694



Kan / wil iemand erachter komen welke 2 ID nummers hierachter zitten?

Ben benieuwd...
F
Frank -
15-10-2007 02:39
Wat is het doel van jouw systeem?

Ik zal niet beweren dat het een slecht systeem is, ken het niet en heb het ook niet gekraakt, maar de kans dat het beter is dan bv. md5- of sha1-hashing, is bijzonder klein. Daar zit toch wel een flink stukje wiskunde achter, het is maar weinig mensen gegeven om dat te snappen.

Daarnaast werkt de enorme rekenkracht van de hededaagse processor tegen je, zelfs een md5- of sha1-hash namaken (kraken is onmogelijk) is meestal kinderspel. Een hash afgeleid van een wachtwoord van 4 karakters is in enkel secondes nagemaakt/achterhaald. Een wachtwoord van 6 karakters werd op mijn vorige pc in 8 minuten nagemaakt/achterhaald, dat was 4 jaar geleden...

Kortom, wat wil je beveiligen en hoe sterk moet deze beveiliging zijn?
F
Fromzon ngl
15-10-2007 02:44
Het is meer een experimentje dan wat anders ( bij succes wel interessant om te gaan gebruiken uiteraard). Daarom dat ik het in de koffie hoek heb geplaatst :-)

Ik ken ook niet veel af van encoderen en decoderen maar ik wil vooral weten of het systeem al dan niet gekraakt KAN worden.

Met een simpele "ja" of "nee" kan ik uiteraard geen genoegen nemen. Misschien is het naïef van mij maar ik kan mij niet direct inbeelden hoe een sterk rekensysteem dit kan kraken.

Maar ik ben nooit te oud om bij te leren natuurlijk...
?
Onbekende gebruiker
15-10-2007 07:27
De kracht van MD5 of sha-1 is dat de hash klein is. Als dit één nummertje is, dan wil ik deze zin wel eens met jouw encoder ge-encode zien... Dat is natuurlijk uber groot.

Desalniettemin, ik zou niet weten hoe dit om te keren is, maar een grondige analyse van dergelijke (wanneby) crackers zouden hier misschien wel wat uit kunnen krijgen.
Kumkwat Trender
15-10-2007 10:22
probeer het programma [google]Cain and Abel[/google], je kunt het een beetje kraken maar volgens mij niet helemaal. Als het niet lukt heb ik nog een programma voor je, wat ik op dit moment niet op de naam kom.

Pas op je Procesor!!
H
Harry
15-10-2007 11:23
Lijkt mij wel een aardig systeem aangezien je iedere keer een andere output krijgt wanneer je het encode.

Ik neem aan dat alle nummers, uit de id serie, weer op dezelfde id uitkomen wanneer je ze decodeerd.

Zal er eens over nadenken wat er achter schuilt...

Harry, zometeen met hoofdpijn ;-)
?
Onbekende gebruiker
15-10-2007 11:28
Peter schreef op 15.10.2007 10:22
probeer het programma [google]Cain and Abel[/google], je kunt het een beetje kraken maar volgens mij niet helemaal. Als het niet lukt heb ik nog een programma voor je, wat ik op dit moment niet op de naam kom.

Pas op je Procesor!!

Ja, double quote: Pas op je processor, want al kan Cain en Abel dan wel het dehashen, het is en blijft gewoon brute-forcen.
Elwin - Fratsloos
15-10-2007 11:40
pgFrank schreef op 15.10.2007 02:39
Een hash afgeleid van een wachtwoord van 4 karakters is in enkel secondes nagemaakt/achterhaald. Een wachtwoord van 6 karakters werd op mijn vorige pc in 8 minuten nagemaakt/achterhaald, dat was 4 jaar geleden...
Toch moet ik hier enige nuance in aanbrengen. Als je een hash maakt van 4 letters en/of cijfers is die inderdaad redelijk snel nagemaakt. Heb je een hash gemaakt van $%&^ (bijv.) is het al een heel stuk lastiger. Helemaal als je als kraker niet weet welke tekens er gebruikt zijn, dan moet je aan een combinatie van a-z, A-Z, 0-9 en vreemde tekens. Dan kan je al aardig wat combinaties maken.

Maar om niet in de herhaling te vallen: dit hebben we al een keer besproken op phphulp.nl.

Daar staan trouwens ook twee tests is van ene Frank (niet pgFrank) die twee hashes van mij gaat brute-forcen, a-z, A-Z, 0-9 duurde inderdaad enkele secondes. De combinatie a-z, A-Z, 0-9, vreemde tekens duurde met een hash van een string van 5 tekens al ruim 20 minuten.

M.i. kan je heel goed een bestaande hash-functie gebruiken, tenzij je het e.e.a. echt gecodeerd op moet slaan en vervolgens ongecodeerd wilt laten zien.

Eigenlijk zoals pgFrank zei (en ik beaam) is de invoer in veel gevallen belangrijker. Neem dus, bijvoorbeeld voor wachtwoorden, een lange (> 6 tekens) en complexe string om te hashen. Zonder reclame te willen maken (dus wel eigenlijk ;)) zou je gebruik kunnen maken van deze functie.

[Edit: Typo]
?
Onbekende gebruiker
15-10-2007 11:47
Een niet al te moeilijk te begrijpen functie om veiligere (let wel: VEILIGERE) wachtwoordhashes te maken:

<?php
function hashPass($pass)
{
	$secretKey = "&*12313!(&#*&#!blaat(*&*(&#!(*"; // Aanpasbaar (alleen wel eenmalig doen!)
	$tmp = md5(strrev($secretKey).$pass.$secretKey."marked");
	return $tmp;
}
$securedPass = hashPass("BlaatAap");
?>
Kumkwat Trender
15-10-2007 11:48
Maar om niet in de herhaling te vallen: dit hebben we al een keer besproken op phphulp.nl.

hebben we al meeeeeerdere keren besproken...
Elwin - Fratsloos
15-10-2007 11:53
Peter schreef op 15.10.2007 11:48
Maar om niet in de herhaling te vallen: dit hebben we al een keer besproken op phphulp.nl.

hebben we al meeeeeerdere keren besproken...
Op zich niet erg, want de meeste systemen gaan toch in de fout bij de beveiliging, of het nu SQL-injectie is of de wachtwoordsterkte of wat anders...

Reageren

Inloggen om te reageren