В какой кодировке пароли в БД

[sertaras]

Уже второй день какие то флудерасты атакуют мой форум!
Я вычислил их и оказалось что среди всех на моем форуме зарегался и админ этого форума хочу расшифровать его пароль может он подойдет к админке его форума тогда я им устрою. Вот тут у них тема где они свои подвиги обсуждают там кстати не только мой http://resseller.ru/forum/showthread.php?t=255&page=2
Чтоб вам не регатся (Логин Zorro Пароль 123456)

Так вот собственно вопрос в какой кодировке пароли я вот знаю эти но какой конкретно незнаю Подскажите!!!

[Ghost]

sertaras, пароль храниться в бд в виде хэша и ты врядли сможешь его расшифровать.Да я сомневаюсь что тот админ зарегился у тебя на форуме с данными которые он использует для входа к себе в админку.
Что тебе посоветовать,просто усиль защиту ,а его забань и все.

Нажми для просмотра

Почему

md5() нельзя расшифровать, так как он ничего не шифрует. Он хеширует. Термина "расхешировать" нет.

Хеширование, это преобразование данных произвольного размера в короткую строку (или число) фиксированной длины. Для алгоритма md5 результатом является 32-разрядное 16-ричное число (называемое хешем или дайджестом).

Немного разбираясь в математике, можно сообразить: множество входных значений (строка произвольного размера), практически бесконечно, в то время как количество возможных результатов, представляет собой вполне конечное число – 1632. Следовательно, взаимнооднозначного соответствия между двумя множествами быть не может. Следовательно, зная результирующий хеш, получить исходную строку невозможно, т.к. для одного хеша возможных исходных строк может быть любое количество.

Изначальная задача md5, вообще, ни к хранению паролей, ни к web-программированию не относится. md5 вычисляет контрольные суммы. Например, при передаче большого файла по каналу связи, где возможны ошибки, вместе с ним можно передать его md5-хеш, после чего приемник так же может вычислить хеш полученных данных и сравнить с пришедшим, чтобы удостовериться, что сбоев при передаче не произошло. Либо, вы можете распространять свою программу и выложить у себя на сайте хеш её архива. И пользователь, получивший её из других источников, может проверить, а не залезал ли в неё злой хакер и не прицепил ли в конце какой-нибудь вирус. Одно из свойств md5-алгоритма – значительное отличие хеша, даже при незначительных изменениях во входных данных.


Хеширование паролей

Пароли пользователей обычно хранятся в базе или в файле. Хранить их можно и просто в открытом виде. Однако это является некоторой дырой в безопасности. Т.к. злоумышленник, получивший доступ только для чтения к этой базе, может взломать систему. Случай, когда он получает доступ еще и на запись, не рассматриваем, т.к. никакой md5() здесь уже не поможет.

Вообще-то, дыра в безопасности не в этом. При настройке БД вменяемым администратором, никто посторонний доступа получить не должен. Однако народ у нас администраторам не доверяет и пароли в базе шифрует. Т.е. в большинстве случаев, как уже выяснили, не шифрует, а хеширует.

В большинстве случаев это выглядит следующим образом:
1. При регистрации пользователя, введенный им пароль хешируется. В простейшем случае просто md5($password). И именно хеш заносится в базу. Исходный пароль не сохраняется нигде.
2. При авторизации пользователь вводит пароль, который отправляется на сервер. На сервере он так же хешируется и сравнивается с хешем в базе. Т.е. не хеш из базы преобразуется к нормальному виду, а наоборот.

[kadet]

sertaras
1. ip блокируй "воющих";
2. заполни автоцензор.

[sertaras]

Чтож жаль! Хотел красиво наказать придется грубо закажем Дос атаку пусть понервничают!
Спасибо за ясный и понятливый ответ!

[SEREGA94]

Чтож жаль! Хотел красиво наказать придется грубо закажем Дос атаку пусть понервничают!
Спасибо за ясный и понятливый ответ!

дос атака уголовна наказуема. аккуратней -)

[Slavok47]

за Дос я бы сам головы отрывал....

[sertaras]

за Дос я бы сам головы отрывал....

А как еще с такими придурками поступать! За два дня 15 акков и все тупо обсирают форум. Обидно...

Кстати полазил по хакерским форумах все таки мд5 расшифровуют не знаю как они это делают но делают!

[Ghost]

А как еще с такими придурками поступать! За два дня 15 акков и все тупо обсирают форум. Обидно...

Удалять посты,банить пользователей и защищеная регистрация с капчей и контрольными вопросами.

[Serberg]

А как еще с такими придурками поступать! За два дня 15 акков и все тупо обсирают форум. Обидно...

Рагистрацию нормально защити, бань по IP и все будет пучком. Зарегят еще несколько аккаунтов и отвалят.

[Ghost]

Кстати полазил по хакерским форумах все таки мд5 расшифровуют не знаю как они это делают но делают!

ОНи нерасшифровывают,а занимаються подбором хэша,т.е перебирают и подставляют. Вылавливают куки.

[sertaras]

Рагистрацию нормально защити, бань по IP и все будет пучком. Зарегят еще несколько аккаунтов и отвалят.

Защиты поставил уже чуть легче стало.
Главное прикол получился там есть функция чтоб сообщение о попытке регистрации записывалось в выбраном разделе от имени того чей ID поставишь я хотел поставить от бота а перепутал и поставил от Aksis он от сюда с бормотухи я когда создавл тему что форум тормозит и давал ссылку он тогда и зарегался (не знаю кто из вас)
И вот очередная атака два типа катают гадости на моем форуме я их баню
И удаляю сообщения которые они написали проверяю по новым сообщениям бац новое сообщение от аксиса смотрю пишет забанил такогото такова другой ник такой то и главное в запароленом разделе Смотрю на форуме никого только я думаю как он сюда попал зачем мне помогает? Смотрю его профиль сообщений ноль Блин мистика какаето
Потом уже сегодня в настройки хака полез мне дошло!
А я пол дня вычислял как он смог его вычислить да еще в закрытом разделе тему создать!
Вот такой прикол получился!

Добавлено через 4 минуты 5 секунд

ОНи нерасшифровывают,а занимаються подбором хэша,т.е перебирают и подставляют. Вылавливают куки.

Да они занимаются брутом есть прога PasswordsPro в ней множество функций подбора брут, подбор подбор по словарям и там еще куча функций но для нее надо мощный компьютер сильно много ресурсов жрет!
Я оставил парням хеш может кто расшифрует посмотрим...

[kadet]

sertaras, есть ещё один вариант.
Скажем сейчас у тебя есть группа Зарегистрированные. Делаешь, чтобы это группа (группа по-умолчанию с регистрации) не могла отвечать в темах, но могла скачивать и оценивать пользователей (спасибо).
А спустя скажем 5 суток, пользователи регистрация которых превышает 3-5 суток, переходят в группу Доверенные (по настройкам выставишь как полноценные пользователи).
На сколько я знаю делается это админка - группы - повышения (там критерии: сообщения, репутация, регистрация...)
Либо, на группу Зарегистрированные можно настроить премодерацию всех сообщений в течении 3-5 суток (на саппорте что то подобное сделано) - на форуме конечно посидеть придётся.
Почитай объявления на главной саппорта, не залогинившись и только зарегистрировавшись.

[sertaras]

kadet Да не это не для меня форуму только 8 дней мне надо пользователи а такой вариант их вобще отпугнет. Лучше я буду следить за порядком! Думаю не я один по началу такие проблемы испытывал.
Неприятность эту мы переживем!!!

[Ghost]

Да они занимаются брутом есть прога PasswordsPro в ней множество функций подбора брут, подбор подбор по словарям и там еще куча функций но для нее надо мощный компьютер сильно много ресурсов жрет!

Да есть много прог,так же как и онлайн сервисов по расшифровке (востановлению)хэша по базе. Но надо учитывать то что каждая система создает свой хэш ,т.е хэш от разных движков несовмемтим и по разному шифруеться.

[kadet]

sertaras, я конечно не знаю что там пишут тебе..., но думаю пишут мало приятного - это пользователей не отпугнёт?

[Ghost]

но думаю пишут мало приятного - это пользователей не отпугнёт?

Ну почему же,они занимаються наполнением контента так называемой оптимизацией.Заодно подымают по запросам в рейтинге яндекса.
Если серьезно,то я бы посоветовал обратить с каким мылом они регяться и на время запретить регу с этих почтовых сервисов.

[OlgaB]

А как еще с такими придурками поступать!

просто забить...
Будь выше этого...

Да и для чего модеры? )))
Мусор постоянно выгребайте - акки баньте.
А потом им просто надоест... ибо "не интересно", когда ты их игнорить будешь)
Оффтоп

привет от базара