Какова цель грубого форсирования хэшей MD5?

Question

Какова цель грубого форсирования хэшей MD5?

Отличная статья о взломе паролей на Ars Technica: http://arstechnica.com/security/2013/03/how-i-became-a-password-cracker/

Но то, что я не понимаю, почему? С точки зрения черной шляпы, какая польза от наличия списка паролей, если у вас нет имен пользователей / электронных писем, связанных с ними? Или имена пользователей обычно связаны с утечками паролей?

Я просто сбит с толку, потому что все эти разговоры о паролях, но не об именах пользователей. Что такого полезного для хакера в списке паролей? Примерить другую атаку, когда у вас есть конкретное имя пользователя?

0

security md5

Источник

user1399181 25 мар '13 в 19:34

2 ответа

Решение

Если вы можете скомпрометировать систему, чтобы получить список паролей, то, вероятно, вы также сможете получить имена пользователей. Технически интересным является "взлом" пароля, поскольку имена пользователей будут храниться в незашифрованном виде. В статье, которую вы упоминаете, речь идет о расшифровке паролей с использованием существующих инструментов и методов, а также о простоте взлома большинства паролей.

0

Источник

Brad Patton 25 мар '13 в 20:04

Другие вопросы по тегам security md5

Rich Homolka 25 мар '13 в 20:12 2013-03-25 20:12 · Accepted Answer · 2013-03-25 20:12

Да, у них есть имена пользователей. Но хеш-инструментам нет дела до имен пользователей, они разделяют имена пользователей и передают хеши паролей только инструментам взлома. Затем вы сопоставляете найденные хеши с именами пользователей.

Хм, как говорится, еще есть некоторая выгода, если у вас есть только пароли. Зная, что люди являются существами привычки, вы можете взломать этот список паролей, чтобы предварительно вычислить некоторые хэши, когда вы получите список с именами пользователей и паролями. (и есть хранилище для этого). Это больше известно как Радужные Таблицы

Предостережение в том, что списки должны использовать точно такие же алгоритмы хеширования, а не (или точно такие же) соли.

Другое дело: эта статья (я тоже ее читал) была в основном о механике сопоставления паролей. Статья была написана как "насколько легко мне разбить хеш", а не "как мне взломать". Таким образом, в этом особом случае имена пользователей не имели отношения к использованию взломщика паролей. Таким образом, они не были затронуты в контексте этой очень конкретной статьи.