Dekryptere crypt()-kryptert tekst

[MadnL]

Hei,

 

Testet et registrerings-og logginnscript tidligere, og det funket flott. Problemet er at jeg nå har lyst til å hente UT mitt passord i klartekst til databasen, men at det er lagret kryptert med crypt()-funksjonen. Hvordan kan jeg dekryptere/cracke det?

 

$passord = crypt($_POST['passord']);

[hockey500]

det gjør du ikke. bruk noe annet enn crypt().

 

EDIT: for å være litt mer hjelpsom, se på mcrypt eller base64_encode og base64_decode.

Endret 21. mars 2009 av hockey500

[Ernie]

Jeg kan ikke helt skjønne hva poenget med det her skal være. Crypt er, som dokumentasjonen ganske klart tilsier, en hash-funksjon eller enveis kryptering, og har av natur dermed ingen «antifunksjon» for å kalle det det. Alternativet er som nevnt over mcrypt hvor man har tilgang til reell kryptering og ikke bare hash-funksjoner. Hva du derimot skal med passord i klartekst er det jeg dog ikke skjønner. Jeg antar det har noe med «glemt passord» å gjøre, men iallfall jeg blir svært skeptisk til systemer hvor jeg kan få mitt reelle passord utlevert. Det er i mine øyne en svært uheldig måte å gjøre ting på i og med at du beviser at du kan lese mitt passord, og hva skal du med det?

 

hockey500: base64 er aldeles ikke kryptering. Det ser kanskje kryptisk ut, men er i bunn og grunn det samme som UTF-8 eller UTF-16 i forhold til Unicode. Det er rett og slett enkoding av et tegnsett (eller strengt tatt bare binærdata). Uannsett, base64 er en svært mye brukt metode for å overføre 8bits tegnsett over en usikker kanal (hvor usikker i denne sammenhengen betyr at et mellomledd ikke takler 8bits tegnsett, men fortsatt jobber med 7bits ASCII).

[LostOblivion]

Ernie har rett. Passord i dag burde av sikkerhetsmessige grunner helst ha en god hashfunksjon som er svært vanskelig eller umulig å reversere. Hvis en trenger nytt passord, gi et nytt tilfeldig generert passord og la han forandre passordet sitt ved første anledning.

Endret 21. mars 2009 av LostOblivion

[MadnL]

Ingen mulighet til å hente det ut i klartekst?

[Ernie]

Nope, ikke uten å begynne med «bruteforce», «rainbow table» eller andre mer eller mindre tidkrevende angrepsmetoder på hash-funksjoner. I og med at det er enveiskryptering er det designet for å vanskelig kunne reverseres. Med mindre man finner en sårbarhet i selve hash-funksjonen er det fint lite man kan gjøre, og selv da er det ikke nødvendigvis slik at man får ut den egentlige teksten, men f.eks en annen tekst pga. kollisjon (flere tekster gir samme hash).