Вопросы Теги

Можно ли выяснить схему хеширования пароля?

У меня есть два пароля и два получающихся хеша. Я не могу выяснить, как хеш получен из пароля. Я не знаю, используется ли соление. Я не знаю, хешируется ли пароль как целочисленное значение или как строка (возможно Unicode).

Пароль: 6770 Хеш: c12114b91a3841c143bbeb121693e80b

Пароль: 9591 Хеш: 25238d578b6a61c2c54bfe55742984c1

Длина хеша, кажется, предлагает MD5. У кого-либо есть какие-либо идеи, что я мог попробовать?

Примечание: Это не для взламывания целей. Я пытаюсь получить доступ к сервису через API вместо, он - настольный клиент, и я не могу выяснить, как вычислить хэш пароля. В настоящее время вместо того, чтобы использовать мой действительный пароль я отправляю непосредственно хеш.

11
задан Meh 7 June 2010 в 13:26
поделиться

2 ответа

Поиск в Google этих хеш-значений (!) Показывает, что 25238d578b6a61c2c54bfe55742984c1 - это md2sum из "9591" ( источник ), и на этом сайте есть еще одна страница. подтверждение того же для 6770 и вашего первого хэш-значения ( source2 ).

(Правка: с тех пор я поискал в Google исходный код md2 и перепроверил хэши.)

(Отредактировано снова для комментария: вам невероятно повезло, что этот API использует такую ​​ужасную схему хеширования без каких-либо солей или префиксов. ! :-))

28
ответ дан 3 December 2019 в 02:40
поделиться

В документации API ничего не сказано? Странно.

В принципе, это невозможная проблема - любое количество различных алгоритмов хэширования может дать одинаковые результаты в любом заданном количестве конкретных случаев, а затем дать другой результат при первом обращении к одному из них.

Однако на практике, вероятно, можно просто попробовать несколько распространенных криптографических хэш-алгоритмов и посмотреть, что они дают. Если один из них совпадает в нескольких случайно выбранных случаях, то, вероятно, он правильный. Злонамеренный человек может, например, поменять несколько символов (поменять '2' на '3' или что-то еще - вы не заметите этого в ваших примерах паролей) перед применением основного алгоритма хэширования, но в реальных приложениях это маловероятно.

BTW - пароль из четырех цифр так же надежен, как и отсутствие пароля вообще.

3
ответ дан 3 December 2019 в 02:40
поделиться
Другие вопросы по тегам:

Похожие вопросы: