Проблема с Хэшем

Хэш - 3%3A5b84c40bcce0737e45dc36cfc8a0c7cab469
Пароль: 1234

Пришём Хэш меняется....

Вот эт тож 1234
3%3Aa20c3c4a007b88f08e4ad39d1f1aad0262de

У когонить есть идеи?

 

это не хэш (смотри обозна4ение понятия)!

следовательно, это или алгоритм бло4ного шифрования пароля с рандомной гаммой поверх него, или какой-то замутный аглоритм запоминания связки сессии-паса.

Думаю, если скажешь исто4ник откуда взял закрытый текст(портал, движок) - можно будет расбираться поподробнее...

 

где-то помню была статья, что одинаковые пассы могут иметь разные хеши, и наоборот ,что один и тот же хеш, может обозначать два разных пароля

 

damochka.ru
IPB форум, но он какой-то самоисправленный...

 

сессия отпадает... одна и таже 249fe149c1a4b5d30ffc684e4189dd4d - вт эт ктати md5

оффтоп: не покупайте клаву genius... буковка "о" хреново уже нажимается (прошёл месяц)

 

после услышанного приходят в голову только 2 идеи:

идея номер раз: никакие это не хеши, а слу4айно сгенеренные по определенному правилу шифротексты

идея номер два: хэши одинаковы, разные лишь форматы вывода строки: hex, mime base 64, yy code, xx code

 

это хэш!!! чую хэш!!! это он))) токо как???)))

 

ссессия и хеш это разные веши, может каким то макаром ссесия у тебя случайно расшифровалась?

 

Сейчас модно делать такие фишки:
$hash=md5("kGKKhcm/56~spsshRRnsud13oifuis".md5("password");

то есть хэш берется 2 раза, притом к первому хэшу присоединяется случайная строка, прописанная в конфигах форума.
На разных форумах шэши разные, а чтобы их сбрутить, нужно иметь доступ к файлу конфигов и писать переборщик заново, тк я не видел брутфорсеров, поддерживающих такой вариант хэширования.
Благо на PHP написать такое - 15 минут

 

И необязательно смотреть файл конфигов... Достаточно Посмотреть свой хеш......... А дальше уже понятно. Но если использовать шифрование пароля более запущено типа
Добавляем Берем md5 Пароля убираем 3 первые и 4 последние знаки, потом перед ними и полсе них добавляем случайную строку, А потом это все дело еще раз в md5 )))))))))))))))))))))))))))))))))))))))))

 

В принЦипе, это и есть гаммирование и двойное хеширование, которое я описывал во втором посте...

И нас4ет надежности: никакой переборЩик при таком раскладе даже пытаться писать не стоит - время брута мд5 хэша, хэшированного дважды (даже без наложенной гаммы) будет близко к времени, когда к нам 4ерная дыра дыра с космоса прилетит

 

Развивая тему могу добавить, что md5(md5("ALKSJD^^asdasd" . md5($pass)) - это ещё не предел... Ну например админ может проболтаться, чт там у них за строка.
Вот если
md5(md5($случайнаястрокаиз9симвлов) . md5($pass)) - тут уже мона спокойно склеивать ласты. т.е. в mysql для каждого юзера прописывается ещё и случайно сгенерировая строчка из 9 символов.
ЗЫ: 9 символов - это ещё не предел.

 

Kond4r, если каждый раз будет новая случайная строка, то как потом можно будет эти хеши сравнивать при авторизации - они ведь все время разные будут при одинаковом пароле? или я чего-то не понял...

 

В базе хранится нетолько хэш твоего пароля, но если можно так назвать ключ к нему.
например:
249fe149c1a4b5d30ffc684e4189dd4d - хэш пароля
Ёё~%3 - ключ к нему

Ключ генерируется рандомно при смене или установки пароля для каждого юзера он свой - спесифисеский)))

При авторизации скрипт выдёргивает из базы по нику твой ключ, подставляет его в выражение вида: md5(md5($key) . md5($password)) и сравнивает его с тем который у тебя.... Можно развить тему и прописать чтобы $key менялся при каждом вводе пароля..

Т.е. Если ты залогинился на форуме в кукисах пописывается хэш твоего пароля по жёсткой схеме изложеной выше, при выходе и повторном прилогинивание хэш проля в кукисах будет уже совсем другой...

т.е. пока ты не нажал на кнопочку logout твой хэш не изменится.

 

Кстати такая хрень уже во всю юзается на форумах IPB 2.1.0 - там по дефолту стоит $key из 5 символов.

Блин на этом сайте damochka.ru так оно и есть!

Осталось токо понять что это за постоянные 3%3..... которые не меняются и гдк там хэш после них... или он в середине... и хэш ли это? ааааааааа полный msdos!