[firebase-br] criptografar campo de senha no fb.

Eduardo Bahiense eduardo em icontroller.com.br
Qua Fev 20 20:09:46 -03 2008 

> Nesse aqui você consegue fazer o reversa:
> http://gdataonline.com/seekhash.php
> 
> Testei 10 senhas, 7 passaram!
> Ex, data de nascimento já tem todas =)
> Ex, palavras do portugues tb, testei até claustrofobia,onomatopeia e ele 
> achou!
Sim, isso chama-se Rainbow table

> Portanto para usar md5 sua senha deve ser beeem complicada ou pelo menos 
> longa!

Para isso, usa-se "salt", individual ou global.
Adicona-se alguns caracters na senha antes de encriptar.
Ex. 123456 -> #%$@&@*@&@9087227g!123456 -> Encriptar()
Quem mandou encriptar, conhece o literal. Se alguém conseguir decriptar, 
ainda não tem a senha. E se alguém tiver a table de 123456 em MD5, não 
acha essa. Este é o método global.

No método individual, usa-se um valor variável junto com a senha.
Ex.: User Joao ID 3456 Senha abcd -> 
@$#$#¨#&#&#0000897645433-3456-uioetgsbd-abcd -> Encriptar
Para reverter uma coisa assim, décadas, para criar uma RainTable, quase 
impossível.

Talvez o algorítimo do FB use salt, por isso não se consegue voltar a 
masterkey.	

Abs,

Eduardo

> 
> Já esse site trata de achar colisão em SHA1 e achar portanto uma outra 
> senha que equivale à aquela!
> Utiliza brute force, ou seja, testa todas até achar o resultado!
> http://freshmeat.net/projects/unhash/
> 
> 
> Mas falar que MD5 e SHA1 foram quebrados é lenda, o mais próximo que 
> chegaram foi reduzir de 2**80 para 2**69 chances para achar o resultado, 
> ou seja, 4 anos nos computadores populares e um mes em supercomputadores.
> Vide: http://www.schneier.com/blog/archives/2005/02/sha1_broken.html
> 
> 
> Tentei crackiar a senha padrão do FB que fica no security, usando john 
> the ripper!
> Procurando na internet achei este link:
> http://fhasovic.blogspot.com/2005_01_01_archive.html
> 
> Este diz que o FB 1.5 utiliza o hash DES, mas o john the ripper não 
> reconheceu a senha n2zpJI3qBh2 que está gravado no meu security.fdb como 
> masterkey!
> 
> Alguém sabe que tipo de criptografia é essa?
> 
> 
> Valeu
> Mario Mol
> 
> 
> Eduardo Bahiense escreveu:
>>> Podes por exemplo criar uma função de encriptação utilizando o algortimo MD5
>>> e aplicar dentro do seu aplicativo ou ligá-la ao seu banco via udf.
>>> Qualquer palavra ou frase encriptada pelo MD5 é transformado em um string de
>>> 32 bytes. Não existe função reversa, essa função é de mão única.
>>>     
>>
>> Exceto que o algorítmo MD5 já foi quebrado. Não é mais 100% seguro. :-(
>>
>>
>> ______________________________________________
>> FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
>> Para saber como gerenciar/excluir seu cadastro na lista, use: http://www.firebase.com.br/fb/artigo.php?id=1107
>> Para consultar mensagens antigas: http://firebase.com.br/pesquisa
>>
>>   
> 
> 
> ______________________________________________
> FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
> Para saber como gerenciar/excluir seu cadastro na lista, use: http://www.firebase.com.br/fb/artigo.php?id=1107
> Para consultar mensagens antigas: http://firebase.com.br/pesquisa
>

Mais detalhes sobre a lista de discussão lista