1

Temat: Łamanie hashy

Zastanawiam się nad złożeniem maszyny pod hashcata ale zanim wywalę 10k PLN myślę o opłacalności. Czy ktoś z Was byłby zainteresowany łąmaniem dużych porcji danych czy takie serwisy jak crackstation i ich płątne odpowiedniki Wam wystarczają?

2

Odp: Łamanie hashy

Uwazam to za dobry pomysl. Sam mysle nad czyms takim.

Ralts: zbanowany do wyjaśnienia http://polka.pm … 323#p43323

3

Odp: Łamanie hashy

Może wydam się jakiś niedouczony, starej daty lub po prostu naiwny, ale mimo to zapytam. Czy w dobie solenia hashy, PBKDF2, 2FA, nadal można rzeczywiście znaleźć bazy, które da się połamać, powiedzmy, w połowie? A potem rzeczywiście zrobić użytek z tak odzyskanych haseł? I jeszcze na tym zarobić 10k?

Ralts: zbanowany za multikonto i dezinformację http://polka.pm … 613#p40613

4

Odp: Łamanie hashy

Szczepan Sadurski napisał/a:

Może wydam się jakiś niedouczony, starej daty lub po prostu naiwny, ale mimo to zapytam. Czy w dobie solenia hashy, PBKDF2, 2FA, nadal można rzeczywiście znaleźć bazy, które da się połamać, powiedzmy, w połowie? A potem rzeczywiście zrobić użytek z tak odzyskanych haseł? I jeszcze na tym zarobić 10k?

https://sekurak.pl/polski-serwis-mial-h … asie-duzo/

29832 to całkowita liczba zaimportowanych hashy, z czego aż 43% została w dość krótkim czasie złamana. Z czego to wynika? Z prostych haseł. Szybkość łamania bcrypta na jednej nowoczesnej karcie graficznej to 75 000 hashy na sekundę – duży słownik języka polskiego można przeglądnąć w parę sekund…:

Hashmode: 3200 – bcrypt $2*$, Blowfish (Unix) (Iterations: 32)
Speed.#1………: 75778 H/s (20.79ms) @ Accel:2 Loops:16 Thr:24 Vec:1

Jak widzicie również sól (domyślnie tworzona w bcrypcie) nie pomaga, nie pomógłby też większy tzw. work factor (dłużej liczy się pojedyncze wykonanie bcrypt()).

Szyfrowany PGP e-mail wymagany. Nie zajmuję się Escrow.
E-mail: [email protected] 0F3F 1DE0 E075 DE90 82AC 992F 86F1 CF79 7DD8 EC47
Bitmessage: BM-NC4NA5WTS5kCzGCkWMQUgQYdRudiCxXr

5 Ostatnio edytowany przez Ekonomik (2020-12-28 PM)

Odp: Łamanie hashy

Dzięki Ralts za reprezentatywny przykład. Na tej samej DB ale za pomocą innego słownika połamałem 44,9% hashy i to za pomocą maszyny pozbawionej GPU!

wc -l wakacje.pl/7914_wakacje-pl_found_hash_plain.txt
12895 wakacje.pl/7914_wakacje-pl_found_hash_plain.txt
wc -l wakacje.pl/Ekonomik-wakacjepl.txt 
13394 wakacje.pl/Ekonomik-wakacjepl.txt

Suma obu zbiorów (tego, który cytują na sekuraku + to co odszyfrowała moja dotychczasowa maszyna) daje dostęp do prawie 63% haseł użytkowników.

SELECT COUNT(*) FROM `wakacjepl_user` WHERE passclean != '' 
18764

SELECT COUNT(*) FROM `wakacjepl_user` 
29832

Myślę, że warto by zainwestować w sprzęt pokroju GeForce RTX 3080

Edit:

Szczepan Sadurski napisał/a:

... I jeszcze na tym zarobić 10k?

Pomimo nicku na forum, nie nastawiam się na efekt ekonomiczny przedsięwzięcia. CUDA to moje hobby i robię to just4fun. Jeśli ktoś z Was, kto potraf to zmonetaryzować chciałby się dołożyć do przedsięwzięcia, pozostaję otwarty na propozycje :)