Расшифровка .htpasswd - Безопасность

Ghost · 20.05.2004, 17:20

Долго думал куда запостить сие, думаю, что не ошибся разделом.
Короче. В Apache HTTP-Server есть такая фича - ограничение доступа к какой-либо папке и предоставление доступа только тем, кто знает логин и пЫссворд. Все эти имена и пароли хранятся в файле .htpasswd (обычно он именно так называется, но не обязательно). Фактически это обычный текстовый файл, содержащий строки вида username:encrypted_password. Т.е. имя пользователя хранится в явном виде, а вот пароли - в зашифрованном.

Так вот, как имея этот файл узнать комбинации юзверь+пассворд, т.е. фактически расшифровать пароль?

crawler · 20.05.2004, 17:31

Брут-форсом - шифровка в МД5, если не ошибаюсь. Именно поэтому его и "нельзя" с Сети увидеть.

<VoiCe> · 20.05.2004, 17:33

Надо было эту тему все-таки в Пароли в Хав ту...
Для расшифровки данного файла используется программа John The Ripper
Долго правда и машина мощная нужна...

watson · 20.05.2004, 17:33

А как его или чем его утаскивают с сервера?

Ghost · 20.05.2004, 17:37

<VoiCe>
10nx. Попробую этой софтиной.

crawler
Брут-форс - енто что за зверь?

<VoiCe> · 20.05.2004, 17:41

Ghost если надо, то могу и мануалом помочь, кинь в ПМ мыло...
Брутфорс это подбор пароля методом перебора

dr-evil · 20.05.2004, 19:55

1. Подбирает отлично John The Ripper
2. По поводу доступа: для ограничения доступа служит .htaccess

XoxoL · 20.05.2004, 21:53

Цитата:

Сообщение от <VoiCe>

Брутфорс это подбор пароля методом перебора

Разреши уточнить - последовательного перебора.

Sinker · 21.05.2004, 13:23

Извиняюсь за оффтопик. Случайно подумалось... А что мешает создать БД с 3 столбцами (id, pass, pass_md5) и потом делать поиск по ней? Тем более, что это можно сделать средствами не собственного компа, а использовать мощности сервера хостера :-)

Merlin Cori · 21.05.2004, 13:34

Sinker, что ты подразумеваешь под поиском? и как ты собираешься использовать севрвак хостера? Если ты запустишь замкнутый на себя скрипт с выходом только при подборе пароля, то я думаю, что хостер быстренько найдет, кто грузит сервак по самые уши и надает по ушам.....
И это при том, что скрипт тебе придется делать самому.
Пароль шифруется по MD5, а это одностороннее хэширование.
Взлом только методом подбора пароля и время подбора, зависит, в основном от длины пароля и набора символов. Если и строчные и прописные и пунктуация и спецсимволы - умрешь от старости в ожидании

XoxoL · 21.05.2004, 13:56

Цитата:

Сообщение от Sinker

Извиняюсь за оффтопик. Случайно подумалось... А что мешает создать БД с 3 столбцами (id, pass, pass_md5) и потом делать поиск по ней? Тем более, что это можно сделать средствами не собственного компа, а использовать мощности сервера хостера :-)

Я думаю что тебе помешает размер дискового пространства где хранить эту таблицу.

Прикинь размеры полей, а потом подсчитай количество чтрок, скажем от 1 до 8 символов и тебе все станет ясно.

Sinker · 21.05.2004, 14:01

Пишу скрипт, который генерит пароль (последовательно, как при брутфорсе), шифрует его в md5 и пишет в базу. Само собой вечно он работать не сможет, поэтому можно предусмотреть остановку по таймеру или количеству обработанных паролей. Вешаю его на cron (или даже просто на обращение к моему сайту, например) и жду наполнения базы. Понятно, что это не один день займет, но мне и интересно оценить это время. Тем более, что пользоваться базой можно будет сразу же (ввел в форму md5 - получил пароль, если он есть в базе).
ЗЫ. Можно и распределенно эту базу наполнить, т.е. не один комп напрячь, а пользу на всех поделить. :-)
ЗЗЫ. Возможно, бред, но похожий на реальность...

<VoiCe> · 21.05.2004, 14:04

В John The Ripper есть разные способы перебора, в том числе и по словарю, вот только словарь должен быть немаленький

XoxoL · 21.05.2004, 14:29

Цитата:

Сообщение от <VoiCe>

В John The Ripper есть разные способы перебора, в том числе и по словарю, вот только словарь должен быть немаленький

Он про другое говорит

- просто хочет сгенерить все возможные пароли и в таблицу положить пароль:MD5.

.
Пусть попробует.
Завидую его поставшику HDD!!!

Sinker · 21.05.2004, 14:38

Вот только сейчас проверил. Сервер Мастерхоста успевает сделать примерно 110-130тыс. строк за 30 секунд (потом отрубается по таймауту), при этом база получается 6 метров с копейками. Простой подсчет (5 символов в пароле и 70 возможных символов [буквы/цифры]) даёт срок приблизительно 6 суток и базу размером 77 гигов.

Merlin Cori · 21.05.2004, 14:42

Sinker
а кто те сказал, что 5 символов в пароле, а не 8, 10 или 14

XoxoL · 21.05.2004, 14:45

Теперь пересчитай для 8 сисмволов (5 никогда не считалось надежным паролем и в большинстве систем стоит ограничение минимум 6 символов, о то и 8)
У метя на систему пароль 15 символов, причем еще и спец символы присутствуют и пробел. Вычисли ка размерчирк базы

Sinker · 21.05.2004, 14:52

Для 6 символов все увеличивается в 70 раз, для семи еще в 70 и т.д.
Я вижу, что цифры получаются большими, но по крайней мере можно сократить время используя несколько машин. Ну а с местом я не знаю пока что делать... :-)

Merlin Cori · 21.05.2004, 15:24

Sinker
весь вопрос в том, чтоб тебе эти машины дали и затраченные средства оправдывали цель... ИМХО, бесполезная и бесперспективная затея

crawler · 22.05.2004, 13:24

BTW, тут на форуме есть ветка "распределенные вычисления". Как вы думаете, что именно в ней вычисляют распределенно

20.05.2004, 17:20	# 1
Ghost ::VIP:: Звезда первого сезона Молчун-2004 Регистрация: 24.08.2002 Сообщения: 1 575	Расшифровка .htpasswd Долго думал куда запостить сие, думаю, что не ошибся разделом. Короче. В Apache HTTP-Server есть такая фича - ограничение доступа к какой-либо папке и предоставление доступа только тем, кто знает логин и пЫссворд. Все эти имена и пароли хранятся в файле .htpasswd (обычно он именно так называется, но не обязательно). Фактически это обычный текстовый файл, содержащий строки вида username:encrypted_password. Т.е. имя пользователя хранится в явном виде, а вот пароли - в зашифрованном. Так вот, как имея этот файл узнать комбинации юзверь+пассворд, т.е. фактически расшифровать пароль? __________________ Действовать надо тупо и это лучшее доказательство нашей чистоты и силы!

20.05.2004, 17:33	# 4
watson ::VIP:: Регистрация: 10.10.2003 Адрес: Estonia Сообщения: 1 791	А как его или чем его утаскивают с сервера? __________________ Я вернулся

20.05.2004, 17:37	# 5
Ghost ::VIP:: Звезда первого сезона Молчун-2004 Регистрация: 24.08.2002 Сообщения: 1 575	<VoiCe> 10nx. Попробую этой софтиной. crawler Брут-форс - енто что за зверь? __________________ Действовать надо тупо и это лучшее доказательство нашей чистоты и силы!

20.05.2004, 19:55	# 7
dr-evil ::VIP:: Регистрация: 17.02.2002 Адрес: /home/dr-evil Пол: Male Сообщения: 2 212	1. Подбирает отлично John The Ripper 2. По поводу доступа: для ограничения доступа служит .htaccess __________________ Сеть - это диагноз... а сисадмин - состояние души. Питер! Все на сходку!!! \| Обзоры порталов. Добавь свою любимую систему!

21.05.2004, 13:34	# 10
Merlin Cori Moderator Регистрация: 29.04.2002 Адрес: Moscow Пол: Male Сообщения: 2 980	Sinker, что ты подразумеваешь под поиском? и как ты собираешься использовать севрвак хостера? Если ты запустишь замкнутый на себя скрипт с выходом только при подборе пароля, то я думаю, что хостер быстренько найдет, кто грузит сервак по самые уши и надает по ушам..... И это при том, что скрипт тебе придется делать самому. Пароль шифруется по MD5, а это одностороннее хэширование. Взлом только методом подбора пароля и время подбора, зависит, в основном от длины пароля и набора символов. Если и строчные и прописные и пунктуация и спецсимволы - умрешь от старости в ожидании __________________ Есть две бесконечные вещи, Вселенная и глупость. Впрочем, на счет Вселенной, я не уверен Вклад IMHO.WS в медицину и науку Присоединяйтесь!!!!!

20.05.2004, 17:31	# 2
crawler Full Member Регистрация: 11.12.2002 Сообщения: 864	Брут-форсом - шифровка в МД5, если не ошибаюсь. Именно поэтому его и "нельзя" с Сети увидеть.

20.05.2004, 17:33	# 3
<VoiCe> ::VIP:: Регистрация: 11.02.2004 Адрес: Moscow Сообщения: 401	Надо было эту тему все-таки в Пароли в Хав ту... Для расшифровки данного файла используется программа John The Ripper Долго правда и машина мощная нужна...

20.05.2004, 17:41	# 6
<VoiCe> ::VIP:: Регистрация: 11.02.2004 Адрес: Moscow Сообщения: 401	Ghost если надо, то могу и мануалом помочь, кинь в ПМ мыло... Брутфорс это подбор пароля методом перебора

21.05.2004, 13:23	# 9
Sinker Junior Member Регистрация: 10.07.2003 Адрес: г. Королев, Россия Сообщения: 188	Извиняюсь за оффтопик. Случайно подумалось... А что мешает создать БД с 3 столбцами (id, pass, pass_md5) и потом делать поиск по ней? Тем более, что это можно сделать средствами не собственного компа, а использовать мощности сервера хостера :-)

21.05.2004, 14:01	# 12
Sinker Junior Member Регистрация: 10.07.2003 Адрес: г. Королев, Россия Сообщения: 188	Пишу скрипт, который генерит пароль (последовательно, как при брутфорсе), шифрует его в md5 и пишет в базу. Само собой вечно он работать не сможет, поэтому можно предусмотреть остановку по таймеру или количеству обработанных паролей. Вешаю его на cron (или даже просто на обращение к моему сайту, например) и жду наполнения базы. Понятно, что это не один день займет, но мне и интересно оценить это время. Тем более, что пользоваться базой можно будет сразу же (ввел в форму md5 - получил пароль, если он есть в базе). ЗЫ. Можно и распределенно эту базу наполнить, т.е. не один комп напрячь, а пользу на всех поделить. :-) ЗЗЫ. Возможно, бред, но похожий на реальность...

21.05.2004, 14:04	# 13
<VoiCe> ::VIP:: Регистрация: 11.02.2004 Адрес: Moscow Сообщения: 401	В John The Ripper есть разные способы перебора, в том числе и по словарю, вот только словарь должен быть немаленький

21.05.2004, 14:38	# 15
Sinker Junior Member Регистрация: 10.07.2003 Адрес: г. Королев, Россия Сообщения: 188	Вот только сейчас проверил. Сервер Мастерхоста успевает сделать примерно 110-130тыс. строк за 30 секунд (потом отрубается по таймауту), при этом база получается 6 метров с копейками. Простой подсчет (5 символов в пароле и 70 возможных символов [буквы/цифры]) даёт срок приблизительно 6 суток и базу размером 77 гигов.

21.05.2004, 14:42	# 16
Merlin Cori Moderator Регистрация: 29.04.2002 Адрес: Moscow Пол: Male Сообщения: 2 980	Sinker а кто те сказал, что 5 символов в пароле, а не 8, 10 или 14 __________________ Есть две бесконечные вещи, Вселенная и глупость. Впрочем, на счет Вселенной, я не уверен Вклад IMHO.WS в медицину и науку Присоединяйтесь!!!!!

21.05.2004, 14:45	# 17
XoxoL ::VIP:: Регистрация: 18.02.2004 Адрес: 127.0.0.1 - жду хакеров в гости! Сообщения: 656	Теперь пересчитай для 8 сисмволов (5 никогда не считалось надежным паролем и в большинстве систем стоит ограничение минимум 6 символов, о то и 8) У метя на систему пароль 15 символов, причем еще и спец символы присутствуют и пробел. Вычисли ка размерчирк базы __________________ Саксовость мастдая в том, что рулезность его фич глюкава! Последний раз редактировалось XoxoL; 21.05.2004 в 14:48.

21.05.2004, 14:52	# 18
Sinker Junior Member Регистрация: 10.07.2003 Адрес: г. Королев, Россия Сообщения: 188	Для 6 символов все увеличивается в 70 раз, для семи еще в 70 и т.д. Я вижу, что цифры получаются большими, но по крайней мере можно сократить время используя несколько машин. Ну а с местом я не знаю пока что делать... :-)

21.05.2004, 15:24	# 19
Merlin Cori Moderator Регистрация: 29.04.2002 Адрес: Moscow Пол: Male Сообщения: 2 980	Sinker весь вопрос в том, чтоб тебе эти машины дали и затраченные средства оправдывали цель... ИМХО, бесполезная и бесперспективная затея __________________ Есть две бесконечные вещи, Вселенная и глупость. Впрочем, на счет Вселенной, я не уверен Вклад IMHO.WS в медицину и науку Присоединяйтесь!!!!!

22.05.2004, 13:24	# 20
crawler Full Member Регистрация: 11.12.2002 Сообщения: 864	BTW, тут на форуме есть ветка "распределенные вычисления". Как вы думаете, что именно в ней вычисляют распределенно

Опции темы
Версия для печати Отправить на email