Có ai biết phương pháp mã hóa MD5 không?

1 MD5 hash string có thể bao gồm 26 ký tự tiếng anh từ a-z và 10 chữ số từ 0-9 ---> tổng cộng sẽ có tất cả 36 ký tự. Trong khi đó 1 MD5 hash string có đến 32 ký tự, cứ cho là mỗi ký tự chỉ xuất hiện được duy nhất 1 lần đi. Thì xác suất tìm được 2 string bất kỳ có cùng MD5 hash là: 36! / (36-32)! = 1/1.55e40. Trong khi đó phần lớn các website đều chỉ cho user được phép nhập sai password 1 số lần nhất định.
 
Ủa Hiếu ơi, thế cái chức năng admin gửi mail kèm password cho thành viên thì nguyên lí nó thế nào :-/ Sao nó lại decode được cái md5 ra để gửi lại vào mail ?
 
Nó có encode đâu mà decode. 1 số thì khi user đăng ký member nó sẽ gửi e-mail cho user sau đó mới encode password & lưu vào DB. 1 số thì chẳng thèm mã hóa password nữa. Chính vì để decode được 1 string MD5 tốn rất rất rất nhìu thời gian & tài nguyên máy ---> tính năng lấy lại password đã mất của những website sử dụng MD5 ko bao giờ cố decode MD5 string trong DB để gửi lại password cho user mà chỉ cho user 1 link để tạo password mới.
 
Hiếu ơi, có biết chương trình nào decode MD5 1 cách hiệu quả không? Anh dang học về cryptography nên tiện tìm hiểu luôn.
 
Chẳng có chương trình nèo decode được MD5 cả. Chỉ có tìm 1 string khác với cùng MD5 hash với string đã cho thui.
 
1 string ----> chuyển thành MD5 của nó ----> so sánh với cái MD5 mình có ---> nếu giống nhau thi cái string ban đầu kia chính là password.

Bây giờ ta thử tất cả các string có một chữ số, rồi 2 chữ số, 3 , 4 , 5, 6, 7, 8 , nghỉ (Brute Force Method). hờ, 8 còn có thể tìm được nhưng cũng mất một tuần, còn 9 trở lên nếu có nhiều nhiều máy tính cùng tìm song song còn được, nhưng vẫn vô vọng lắm.

anh Trung lên mạng search cái MD5 brute force tool, chắc là ra nhiều cái lắm. Nhân tiện mấy anh em mình giới thiệu nhau tai liệu về crypto luôn nhẩy.
http://www.und.nodak.edu/org/crypto/crypto/lanaki.crypt.class/lessons/

cái này em dịnh hè tới mới đọc, nên cũng chưa dám nhận xét hay dở, chỉ biết vài đứa đọc rồi bảo hay.

to anh Hà chủ tịch : HAO nhà mình có lưu password chứa encrypted kô? nếu em tóm được cái MD5 của anh, rồi khéo léo xử lý cái cookie thì có vào được bằng acc của anh ko ? :D
 
Thế thì khác nèo cái cách của MD5CRK (178 ngày ko tìm ra được). Vào http://www.md5crk.com đọc papers của mấy thèng Tàu về cách brute force MD5, MD4 và 1 số encryption methods khác hiệu quả.

Còn vụ định lấy MD5 của forum, vô ích, vì VBulletin sử dụng JavaScript để MD5 password của user trước khi gửi để so sánh ---> chỉ có MD5 được gửi qua mạng chứ ko phải password ---> ko thể dùng sniffer để lấy pass. Còn ngay cả khi có được MD5. VBulletin thêm vào 3 ký tự bất kỳ (được lưu trong DB) sau đó mới MD5 password ---> ngay cả khi có được MD5 string và brute force ra được 1 string có cùng MD5 hash thì vẫn ko thể dùng string nì để làm pass được. Thêm vào nữa, chẳng có ai có kinh nghiệm về PHP mà lại để MD5 password vào cookies cả, nhất là nổi như VBulletin thì phải thừa khả năng để chỉ lưu session id vào cookies thui.
 
Chỉnh sửa lần cuối:
Thế nếu dùng chức năng Remember password của Yahoo thì nó lưu cái gì vào, password hay MD5 của password?
Mấy cả sao vẫn có chương trình tìm được pass của YM khi đang online?
 
Đọc lại cái cookies thì chẳng thấy MD5 hash nèo cả ---> ko lưu MD5 password. Có lẽ nó cũng ko lưu password vì chỉ cần lưu session ID là được, tự nhiên lưu thêm cái password làm rì?? Vả lại, session ID thì có thể set timeout cho nó expire. Còn password ko thể set timeout được. Cookies ko phải là tự động bị delete khi user log out ---> để lại cookies làm mồi cho hacker??

Còn cái chương trình tìm pass khi đang online, em chưa bít đến chương trình nèo thế cả. Mà em cũng ko nghĩ có chương trình như thế. Có chăng nó chỉ là key logger, sau khi users type password thì nó gửi đến 1 địa chỉ mail xác định thui.
 
Về chương trình tìm pass khi đang online thì có Advance Instance Mesage Recovery của Elcomsoft, em có thể tìm nó ở đây: http://www.elcomsoft.com/ nhưng nó chỉ cho dùng thử trong 30 ngày thôi.
 
Nguyễn Thành Trung đã viết:
Về chương trình tìm pass khi đang online thì có Advance Instance Mesage Recovery của Elcomsoft, em có thể tìm nó ở đây: http://www.elcomsoft.com/ nhưng nó chỉ cho dùng thử trong 30 ngày thôi.
Nhấn để mở rộng...
Khi sử dụng chương trình đó để tìm pass của YM:
Yahoo! messenger is detected.
Password is not found or is not stored locally.
Nhấn để mở rộng...
Bởi vì nó chỉ tìm được pass khi người dùng sử dụng Remember by ID & password. Và nó chỉ việc tìm lại plain text password trong registry hoặc trong 1 file nèo đó trong máy - tùy thuộc IM.

Nó là tìm password khi dùng Remember my ID & password chứ ko phải tìm password khi đang online. Nếu sử dụng Remember my ID & password thì ngay cả khi ko online nó cũng tìm được.
 
Chỉnh sửa lần cuối:
Hôm nọ vừa down 2 chương trình hình như của Elcomsoft thì phải, chỉ có 40KB mỗi cái, nhưng khiếp phết, nó decode được pass MSN, ICQ, Yahoo (nếu save) với cả pass của tất cả các trang web có cookies đã lưu lại! :-& vãi!
 
Hẹ, bởi vì nó lưu password dưới dạng plain text. Ko tìm được mới lạ. Nó chỉ có mỗi việc tìm vị trí chính xác lưu password.
 
Thái Minh Hoàng Hà đã viết:
Hôm nọ vừa down 2 chương trình hình như của Elcomsoft thì phải, chỉ có 40KB mỗi cái, nhưng khiếp phết, nó decode được pass MSN, ICQ, Yahoo (nếu save) với cả pass của tất cả các trang web có cookies đã lưu lại! :-& vãi!
Nhấn để mở rộng...
Windows' password revealer thì đầy, các password được "save" locally trong máy tính, dưới dạng text, không hề bị mã hóa (=> không cần phải decode), nhưng không hiển thị ra, mà thay bằng các ký tự (******)
Password của các trang web cũng vậy, nếu đặt chế độ tự động điền mật khẩu (của windows), thì mật khẩu này không phải chứa trong cookie => không cần cookie cũng biết được password.

Các chương trình này khá phổ biến, và hữu dụng đối với các đ/c lười và đãng trí, thường chỉ dùng ở nhà (máy của mình) mà thôi, vì chỉ có ở nhà, trong máy của mình, mới lưu lại mật khẩu và autologin.
 
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Back
Bên trên