Ciao a tutti, mi sono imbattuto in
http://exploit.blogosfere.it/2006/02/pas...nsicu.html
che spiega come ormai l'md5 non garantisce più la sicurezza della password
andando nel sito di test della 1.5 ho provato a decrittare le pass di dino e rosanero (gli hash sono listati nell'elenco utenti) tramite questo servizio piuttosto che altri indicati nell'articolo
http://md5.rednoize.com/
il risultato lo possono provare tutti
non dico che si debba cambiare, però darebbe un po' fastidio ad un utente sapere che il suo admin può modificargli la formazione senza che se ne accorga (dopo che ha decodificato la pass)...
che ne pensate?
penso ke all'admin sia sufficiente usare l'ftp per fregare l'amico.. in questi casi l'unica cosa da usare è la fiducia verso la "gente" con cui si ha a ke fare..
veniamo invece a demistificare quanto letto e a ricordare ke conta sempre una cosa in questi casi.. la calma..
invece di andarmi a vedere la pass dei nostri due prodi, ho scelto la via ingegneristica:
prova a decriptare questa con uno dei tre servizi citati:
92b590bc1a1472499b40261e8765ecef
niente? nn funziona? vuoi sapere perchè?
ho alzato il livello di sicurezza delle password usate:
pippopasticcio_23555!<---->92b590bc1a1472499b40261e8765ecef
è una stringa maggiore di sei caratteri con utilizzo di caratteri alfanumerici combinati con due caratteri speciali...
dov'è il trucco:
si randomizzano le stringhe.. si effettuano le conversioni in md5 e si crea una tabella associativa stringa<-->md5
ecco perchè si parla di reverse engineering...
quei servizi nn fanno altro ke una ricerca in una matrice monodimensionale.. potremmo parlare di una tecnica di forcing "pesato" a stringhe plausibili, restringendo il dominio applicativo a scelte progettuali quali stringhe mnemoniche di pochi caratteri e senza troppi fronzoli di sicurezza, diciamo servizio più ke valido per password umanizzate.. come gianni (l'esempio del sito.. e aggiungerei di un utente stupido ke si fa login "semplici" del tipo gianni gianni.. e ke se la cerca!!!!)
Ad esempio la pwd semplice che uso per i forum (anke questo) di 6 char alfanumerici è stata beccata da uno solo dei tre servizi, mentre quella ke uso per la posta 8 char "nn banali" (4 alfa e 4 num) nn è stata beccata neanke una volta..
conclusioni
assicuriamoci ke l'admin sia un amico.. xkè nn avrà bisogno di usare questi "mezzucci" per fregarci...
e stampiamoci l'immagine del campetto se abbiamo problemi di fiducia!
ragssuoli, purtroppo faccio il tutto all'interno di un'azienda, e penso che la legge sulla privacy vada a influire sui dati che lo script gestisce.
Ho solo bisogno di un consiglio:
posso sostituire da solo il metodo di autenticazione?
Se sì, c'è qualche metodo che possa reperire in rete più sicuro del md5?
Immagino che non sia semplicissimo implementarne uno diverso, c'è qualcuno interessato alla cosa?
Anche a pagamento... (questa la dico sottovoce, non vorrei sentissero in troppi :-)
evaristo ti ripeto il concetto base è sempre lo stesso... l'md5 nn mi permetterei di metterlo in discussione neanke due secondi.. automaticamente starei dando dell'idiota a miliardi di persone... il problema della sicurezza dipende solo e unicamente dalla complessità della password.. riguardo al problema aziendale.. se nessuno conosce gli md5 addio decodifica.. basta mettere su hosting di terzi il sito.. e custodire gelosamente la password dell'ftp...
il primo assioma del manuale hacker asserisce ke nn esiste sistema ke nn possa essere bypassato... il fatto ke miriadi di community utilizzino il sistema md5 come hash di sicurezza mi rasserena nn poca.. e di reverse engineering più o meno reclamizzati ce n'è su tutti i sistemi...
a volte nn tutto il lavoro ke si paga porta ad un ritorno effettivo.. da persona onesta nn ti consiglierei mai la modifica che vuoi fare.. salvo essere disonesto e volerti spillare dei soldi...
almeno questo è il mio parere..
forza italia! (la squadra di calcio, ben inteso
)