freepascal.ru

vitaly_l писал(а): При чём здесь попытки входа, если хакеры всё считывают промежуточными серверами?

На это тоже есть ответ))) Называется временные ключи шифрования. Пока ты взломаешь сообщение оно уже будет неактуально.

vitaly_l писал(а):И это-же касается и паролей, с логинами.

Плюс, никто, в здравом уме и трезвой памяти, не проверяет пароли напрямую, только md5-хеш.

vitaly_l писал(а):И абсолютно понятно, что это выполнимая задача, особенно, если подбор ключа отдать мощным PC.

при нормальном пароле, требуется не просто мощный комп, а мейнфрейм начального хотя бы уровня. Если пароль средний, то достаточно среднего компа и специальных методов (если правильно помню, радужных таблиц), но это далеко не такая уж легкая задача, как тебе кажется. Плюс, если аккаунт критичен, есть привычка менять пароли раз в 2-3 недели.

vitaly_l писал(а):А промежуточный сервер, позволяет им "творить чудеса", за доли секунды.

Только в фильмах. В реальности, только подготовительная работа занимает месяц-другой. Даже в случае BSODa. Причем, иногда все можно свести на нет выдернув минут на десять кабель из роутера (сменив айпишник).
А вот обратная задача (вычисление нарушителя), зачастую, намного проще. Особенно, в случае почты. Некоторые недохакеры слишком надеются на анонимайзеры и промежуточные сервера. Плюс, пойманная своей в сети зараза стучит либо на комп хозяина, либо на промежуточный сервер, который стучит на хозяина.

В последнее время, антивирусные компании (и не только они) делают очень большой упор на выбивание таких управляющих серверов. А, на минуточку, любой управляющих сервер должен где-то хоститься... а это риск попасться, когда сервер будут проверять на зловредов. Причем, в силу специфики работы, дома его держать опасно.

Ах да, хозяина анонимайзера, если уж на то пошло, тоже можно привлечь к ответственности, арестовать и забрать сервер как вещественное доказательство. А так как становиться сообщником никому не охота... то, с большой долей вероятности, он легко пойдет на сотрудничество. Даже то, что он за рубежом в случае большой волны не спасет.

Лекс Айрин писал(а):На это тоже есть ответ))) Называется временные ключи шифрования. Пока ты взломаешь сообщение оно уже будет неактуально.

Да? Расскажите этот анекдот, тем кто подписывает свои программы "временными" ключами (которые продлеваются каждый год за валюту).

Лекс Айрин писал(а):никто, в здравом уме и трезвой памяти, не проверяет пароли напрямую, только md5-хеш

Это вообще бред сивой лошади, которая не знает что при хэше md5 можно не только пароль, но и целую поэму Пушкина дешифровать.

Лекс Айрин писал(а):А вот обратная задача (вычисление нарушителя), зачастую, намного проще. Особенно, в случае почты. Некоторые недохакеры слишком надеются на анонимайзеры и промежуточные сервера. Плюс, пойманная своей в сети зараза стучит либо на комп хозяина, либо на промежуточный сервер, который стучит на хозяина.

В последнее время, антивирусные компании (и не только они) делают очень большой упор на выбивание таких управляющих серверов. А, на минуточку, любой управляющих сервер должен где-то хоститься... а это риск попасться, когда сервер будут проверять на зловредов. Причем, в силу специфики работы, дома его держать опасно.

Ах да, хозяина анонимайзера, если уж на то пошло, тоже можно привлечь к ответственности, арестовать и забрать сервер как вещественное доказательство. А так как становиться сообщником никому не охота... то, с большой долей вероятности, он легко пойдет на сотрудничество. Даже то, что он за рубежом в случае большой волны не спасет.

Очередное флудерство и выдумки чата и бота (Лекса и Айрина), т.к. в реальности (к сожалению) всё обстоит совсем иначе.

vitaly_l писал(а):Да? Расскажите этот анекдот, тем кто подписывает свои программы временными ключами (которые продлеваются каждый год за валюту ).

так тут "пароль" намного длиннее)))

vitaly_l писал(а): т.к. в реальности (к сожалению) всё обстоит совсем иначе.

Докажи? Для пробы, как простую задачку, укажи мои реальные ФИО. Занятие на 15 минут ламерского использования любого поисковика. Ради интереса, я даже разрешаю ее указать прямо здесь. В качестве усложненного варианта можешь отослать мне ее на почту. Любую из двух, лучше ту, что на mail.ru. Я проверил, это все в сети есть открытым текстом.

Лекс Айрин писал(а):Докажи? укажи мои реальные ФИО

не, я не занимаюсь такими глупостями. Попросите какого нить хакера, он Вам их прямо на Вашем мониторе напишет (особенно если Вы его поощрите).

vitaly_l, для этого не надо быть хакером... так, капельку владеть поисковиком. Причем, ты сможешь найти и мою старую почту, от которой я отказался.
Ты тут заявлял, что можешь найти пароль чуть ли не от внутренней сети Пентагона. Я тебе предоставил возможность доказать свои слова на деле. Причем, я этим делом занимаюсь периодически -- найти человека, программу или информацию. Причем, иногда я нахожу и его телефон.

Кстати, 15 минут это для тех кто работает очень неторопливо. Тому же хакеру хватило бы и трех-пяти минут.

Лекс Айрин писал(а):Ты тут заявлял, что можешь найти пароль чуть ли не от внутренней сети Пентагона

Ненужно лгать, я этого никогда не говорил и я этого сделать не могу. Я не хакер и не умею, этого. Я на другой стороне.

Лекс Айрин писал(а):

vitaly_l писал(а):И это-же касается и паролей, с логинами.

Плюс, никто, в здравом уме и трезвой памяти, не проверяет пароли напрямую, только md5-хеш.

Сейчас не рекомендуется хранить в md5, время перебора - сократилось и есть базы, добрые люди собирают хеши. Сам использовал.
sha256 - хеш в 32бита

Код: Выделить всё

# define SHA224_DIGEST_LENGTH    28
# define SHA256_DIGEST_LENGTH    32
# define SHA384_DIGEST_LENGTH    48
# define SHA512_DIGEST_LENGTH    64

Добавлено спустя 4 минуты 41 секунду:

Лекс Айрин писал(а):

vitaly_l писал(а):И абсолютно понятно, что это выполнимая задача, особенно, если подбор ключа отдать мощным PC.

при нормальном пароле, требуется не просто мощный комп, а мейнфрейм начального хотя бы уровня. Если пароль средний, то достаточно среднего компа и специальных методов (если правильно помню, радужных таблиц), но это далеко не такая уж легкая задача, как тебе кажется. Плюс, если аккаунт критичен, есть привычка менять пароли раз в 2-3 недели.

Там не пароли хранят, а хеши. Даже в пароль в символ пробела "_" имеет такой же хеш, что и пароль в книгу "как перестать заниматься рукоблудием".
пароль нужен для человека чтобы он мог в разных компах идентифицироваться.. получить одинаковый хеш.

olegy123 писал(а):Там не пароли хранят, а хеши

Вы мне это рассказываете? Серьёзно? Вот вам кстати знания, намного более надёжной защиты чем sha256.

olegy123 писал(а):Сейчас не рекомендуется хранить в md5, время перебора - сократилось и есть базы, добрые люди собирают хеши. Сам использовал.
sha256 - хеш в 32бита

Так вот, "Ваше": sha256 - это тоже сомнительная защита, которая легко подбирается. Наиболее предпочтительно вначале шифровать sha256 и потом дополнительно получившийся результат дошифровывать md5 с примесью секретных слов, чтобы методом перебора было нереально сломать, даже при наличии базы и даже после дешифровки, невозможно было прочитать пароль. <== Вот так надёжно, потому что даже дешифровав md5, невозможно понять где там, sha256, соответственно уже технически невозможно дешифровать sha256, а все ваши методы - смешные.

vitaly_l писал(а):

olegy123 писал(а):Там не пароли хранят, а хеши

Вы мне это рассказываете? Серьёзно? Вот вам кстати знания, намного более надёжной защиты чем sha256.

Нет, конечно никто вам не запрещает иметь целые пароли.

vitaly_l писал(а):

olegy123 писал(а):Сейчас не рекомендуется хранить в md5, время перебора - сократилось и есть базы, добрые люди собирают хеши. Сам использовал.
sha256 - хеш в 32бита

Так вот, "Ваше": sha256 - это тоже сомнительная защита, которая легко подбирается. Наиболее предпочтительно вначале шифровать sha256 и потом дополнительно получившийся результат дошифровывать md5 с примесью секретных слов, чтобы методом перебора было нереально сломать, даже при наличии базы и даже после дешифровки, невозможно было прочитать пароль. <== Вот так надёжно, потому что даже дешифровав md5, невозможно понять где там, sha256, соответственно уже невозможно дешифровать sha256, а все ваши методы - смешные.

Вы там биткойн то взломали? уже как $6000.. елыйфакенпалы..
md5 можно пошукать за неделю или за год - т.е. иметь все хеши и их наборы.

Добавлено спустя 3 минуты 14 секунд:
Ам сойри, не 32бита а 32байта..

256байт против 128 - больше на порядок..

Добавлено спустя 2 минуты 23 секунды:
какие секретные слова? на выходе md5 - 128бита..
зная слово любой - 128битный замок откроется.

olegy123 писал(а):vitaly_l писал(а):
olegy123 писал(а):
Сейчас не рекомендуется хранить в md5, время перебора - сократилось и есть базы, добрые люди собирают хеши. Сам использовал.
sha256 - хеш в 32бита

Так вот, "Ваше": sha256 - это тоже сомнительная защита, которая легко подбирается. Наиболее предпочтительно вначале шифровать sha256 и потом дополнительно получившийся результат дошифровывать md5 с примесью секретных слов, чтобы методом перебора было нереально сломать, даже при наличии базы и даже после дешифровки, невозможно было прочитать пароль. <== Вот так надёжно, потому что даже дешифровав md5, невозможно понять где там, sha256, соответственно уже невозможно дешифровать sha256, а все ваши методы - смешные.
Вы там биткойн то взломали? уже как $6000.. елыйфакенпалы..
md5 можно пошукать за неделю или за год - т.е. иметь все хеши и их наборы.

Добавлено спустя 3 минуты 14 секунд:
Ам сойри, не 32бита а 32байта..

256байт против 128 - больше на порядок..

Добавлено спустя 2 минуты 23 секунды:
какие секретные слова? на выходе md5 - 128бита..
зная слово любой - 128битный замок откроется.

Вы хоть читаете что написано? Вам ясно сказали: вначале шифруете sha256, а потом изменённый результат снова шифруете md5. Только такую схему нельзя подобрать. А голые md5 или sha256 - подбираются.

Добавлено спустя 3 минуты 33 секунды:

olegy123 писал(а):..
зная слово любой - 128битный замок откроется.

Мечтайте, там уже не 128 и не 256, а их перемноженная сумма и при этом в md5 хешируется результат sha256, базу для перебора, которых - создать проблематично. Вникли или всё ещё нет? Это единовременно и экономия диска и в 1 000 000 000 раз более надёжная защита. А все ваши методы - смешные.

vitaly_l писал(а):Вам ясно сказали: вначале шифруете sha256, а потом изменённый результат снова шифруете md5.

256 Бита переводим в 128?
WTF?

vitaly_l писал(а):Мечтайте, там уже не 128 и не 256, а их перемноженная сумма и при этом в md5 хешируется результат sha256, базу для перебора, которых - создать проблематично. Вникли или всё ещё нет? Это единовременно и экономия диска и в 1 000 000 000 раз более надёжная защита. А все ваши методы - смешные.

md5 = 128
Зачем сокращать информацию безвозратно?

olegy123 писал(а):256 Бита переводим в 128?

Делаем, как минимум вот так:

Код: Выделить всё

hesh := md5( sha256( someParole ) );


на для более надёжной защиты, делаем вот так:

Код: Выделить всё

hesh := sha256( sha256( someParole ) );
hesh := someFunctionExcangeSha256( hesh );
hesh := md5( hesh );


только так надёжно, всё остальное - подбирается.

olegy123 писал(а):Сейчас не рекомендуется хранить в md5, время перебора - сократилось и есть базы, добрые люди собирают хеши.

Это уже мелочи.

vitaly_l писал(а):Ненужно лгать, я этого никогда не говорил и я этого сделать не могу.

Я немножко утрирую.

vitaly_l писал(а):Я не хакер и не умею, этого. Я на другой стороне.

Я тоже. Но мне приходится это уметь на начальном уровне. Работа заставляет.

olegy123 писал(а):Вы там биткойн то взломали? уже как $6000.. елыйфакенпалы..

Да он даже человека, который не сильно шифруется, найти не может в гугле. Как ему после этого можно верить? А как только нет аргументов, то пытается всех затроллить.

Лекс Айрин писал(а):мне приходится это уметь на начальном уровне. Работа заставляет.

Делайте как описано выше, блокируйте ботов и спите спокойно.

vitaly_l писал(а):Делайте как описано выше, блокируйте ботов и спите спокойно.

Поздно... ты уже доказал свою "квалификацию", так что смысла слушать твоих советов нет ни малейшего.