[firebase-br] criptografar campo de senha no fb.

Mario brujeria em task.com.br
Qua Fev 20 21:26:10 -03 2008 

Olá,

no link que eu passei fala q FB 2.0 utiliza SALT:
"it's calculated as SHA1 (salt || username || password)"

E diz que no FB1.5 utiliza-se DES, mas não comenta nada de SALT:
"Lets have a look at the process of user identification in firebird 1.5. 
DES algorithm is used to hash password twice - first by client, next by 
server before comparison with hash stored in security database."


Por isso preciso saber, pelo menos, que tipo de criptografia é utlizada 
no FB1.5, se realmente é algoritmo DES-hash.

De qualquer forma, o john the ripper trabalha com DES,
mas não conseguiu identificar n2zpJI3qBh2 como um hash válido!

Lembrando que este programa utiliza brute force, então independente de 
salt ou não ele deve ser capaz de reconhecer este hash e tentar achar a 
resposta para esta senha!

Valeu
Mario Mol

Eduardo Bahiense escreveu:
>> Nesse aqui você consegue fazer o reversa:
>> http://gdataonline.com/seekhash.php
>>
>> Testei 10 senhas, 7 passaram!
>> Ex, data de nascimento já tem todas =)
>> Ex, palavras do portugues tb, testei até claustrofobia,onomatopeia e ele 
>> achou!
>>     
> Sim, isso chama-se Rainbow table
>
>   
>> Portanto para usar md5 sua senha deve ser beeem complicada ou pelo menos 
>> longa!
>>     
>
> Para isso, usa-se "salt", individual ou global.
> Adicona-se alguns caracters na senha antes de encriptar.
> Ex. 123456 -> #%$@&@*@&@9087227g!123456 -> Encriptar()
> Quem mandou encriptar, conhece o literal. Se alguém conseguir decriptar, 
> ainda não tem a senha. E se alguém tiver a table de 123456 em MD5, não 
> acha essa. Este é o método global.
>
> No método individual, usa-se um valor variável junto com a senha.
> Ex.: User Joao ID 3456 Senha abcd -> 
> @$#$#¨#&#&#0000897645433-3456-uioetgsbd-abcd -> Encriptar
> Para reverter uma coisa assim, décadas, para criar uma RainTable, quase 
> impossível.
>
> Talvez o algorítimo do FB use salt, por isso não se consegue voltar a 
> masterkey.	
>
> Abs,
>
> Eduardo
>
>   
>> Já esse site trata de achar colisão em SHA1 e achar portanto uma outra 
>> senha que equivale à aquela!
>> Utiliza brute force, ou seja, testa todas até achar o resultado!
>> http://freshmeat.net/projects/unhash/
>>
>>
>> Mas falar que MD5 e SHA1 foram quebrados é lenda, o mais próximo que 
>> chegaram foi reduzir de 2**80 para 2**69 chances para achar o resultado, 
>> ou seja, 4 anos nos computadores populares e um mes em supercomputadores.
>> Vide: http://www.schneier.com/blog/archives/2005/02/sha1_broken.html
>>
>>
>> Tentei crackiar a senha padrão do FB que fica no security, usando john 
>> the ripper!
>> Procurando na internet achei este link:
>> http://fhasovic.blogspot.com/2005_01_01_archive.html
>>
>> Este diz que o FB 1.5 utiliza o hash DES, mas o john the ripper não 
>> reconheceu a senha n2zpJI3qBh2 que está gravado no meu security.fdb como 
>> masterkey!
>>
>> Alguém sabe que tipo de criptografia é essa?
>>
>>
>> Valeu
>> Mario Mol
>>
>>
>> Eduardo Bahiense escreveu:
>>     
>>>> Podes por exemplo criar uma função de encriptação utilizando o algortimo MD5
>>>> e aplicar dentro do seu aplicativo ou ligá-la ao seu banco via udf.
>>>> Qualquer palavra ou frase encriptada pelo MD5 é transformado em um string de
>>>> 32 bytes. Não existe função reversa, essa função é de mão única.
>>>>     
>>>>         
>>> Exceto que o algorítmo MD5 já foi quebrado. Não é mais 100% seguro. :-(
>>>
>>>
>>> ______________________________________________
>>> FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
>>> Para saber como gerenciar/excluir seu cadastro na lista, use: http://www.firebase.com.br/fb/artigo.php?id=1107
>>> Para consultar mensagens antigas: http://firebase.com.br/pesquisa
>>>
>>>   
>>>       
>> ______________________________________________
>> FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
>> Para saber como gerenciar/excluir seu cadastro na lista, use: http://www.firebase.com.br/fb/artigo.php?id=1107
>> Para consultar mensagens antigas: http://firebase.com.br/pesquisa
>>
>>     
>
>
> ______________________________________________
> FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
> Para saber como gerenciar/excluir seu cadastro na lista, use: http://www.firebase.com.br/fb/artigo.php?id=1107
> Para consultar mensagens antigas: http://firebase.com.br/pesquisa
>
>

Mais detalhes sobre a lista de discussão lista