Password, codici seriali, & Co. - algoritmo o caso?

11-07-10 01:43

CriogenizedSoul CriogenizedSoul è offline

#31
11-07-10 01:43

E' assurdo, ho trovato la password DEFINITIVA,secondo il sito:
Er-Gastroenterologo-90-FTW
It would take
About 126 nonillion years
for a desktop PC to crack your password
MAJESTIC WIN!

Ad ogni modo, i codici seriali si basano sicuramente su algoritmi matematici avanzati: alcune applicazioni, ad esempio, calcolano il seriale basandosi sull'hardware del vostro computer

11-07-10 01:53

Daniel Faraday

#32
11-07-10 01:53

kurojishi1

semplicemente non sono in locale e un numero tanto smisurato di accesso ai server si noterebbe e verrebbe fermato.

Esatto... ci sono gli IDS per questo (http://it.wikipedia.org/wiki/Intrusion_detection_system)... solo un picio di amministratore non ne userebbe uno...

11-07-10 01:53

kurojishi1 kurojishi1 è offline

#33
11-07-10 01:53

funziona bene quel sito

è sicuro perchè non ha modo di sapere a che siti ti connetti e con ch nome utente.
avesse tutte le password del mondo ci farebbe poco senza i nomi utente o eventuali altri ID

anche se segna il tuo ip non è semplice risalire a tutto da quello, si può fare, ma è una fatica inutile andare a capire:
1) il tuo IP
2) a che sito corrisponde quella password
3)a che nick in quel sito corrisponde quella password
4) è servito a qualocosa tutto ciò?
5)????
6) no profit

11-07-10 01:57

Paper Mario Paper Mario è offline

#34
11-07-10 01:57

mix ba'al

non direi, se il sito funziona senza codice php è sicuro, quello che scrivi non esce dal tuo pc, mi sembra questo il motivo.

E poi basterebbe controllare se passano dati in background

CriogenizedSoul

E' assurdo, ho trovato la password DEFINITIVA,secondo il sito:
Er-Gastroenterologo-90-FTW
It would take
About 126 nonillion years
for a desktop PC to crack your password
MAJESTIC WIN!

prima con una roba tipo aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaA1! mi ha dato una cosa tipo 500 miliardi di nonilioni di anni

11-07-10 02:02

Iron84

#35
11-07-10 02:02

se proprio dovete farvi delle paranoie, usate un proxy e sniffate il traffico .___.

il conto delle combinazioni è di una banalità assurda cmq, ed è spiegato pure nel sito...cmq è "numero dei possibili simboli" ^ "numero dei simboli".

11-07-10 02:05

Shino

#36
11-07-10 02:05

kurojishi1

si aggiunga che il metodo di controllo del sito è parecchio inaccurato
anche perchè considera solo il brute force
un pessimo brute force

"About 36 quintillion years"
Usando il mio Cognome+Nome+data di nascita.
Chissà mettendo il codice fiscale.

11-07-10 10:36

Supermanu

#37
11-07-10 10:36

Shub Niggurath

Ad esempio per accedere alla sezione privata del sito della mia banca devo inserire un codice generato ogni volta da un aggeggino elettronico che ti forniscono loro, codice che poi dopo qualche minuto non è più valido. Non riesco a capire come possa essere possibile quest'ultima cosa.

Parli del token? non mi sembra difficile capirne il funzionamento, alla fine succede semplicemente che il sito della banca e la piccola "chiavetta" che hai in mano sono sincronizzati, ogni tot secondi vengono aggiungi numeri (ovviamente l'algoritmo è più complesso)

Infatti avrai notato che a volte può succedere che non siano sincronizzati alla perfezione, e che quindi il codice risulta sbagliato, ma succede poche volte...

11-07-10 13:14

Asax	#38 11-07-10 13:14

Iron84

se proprio dovete farvi delle paranoie, usate un proxy e sniffate il traffico .___.

il conto delle combinazioni è di una banalità assurda cmq, ed è spiegato pure nel sito...cmq è "numero dei possibili simboli" ^ "numero dei simboli".

Vabbeh, lol. Ho capito male allora o presuppone una sorta di oracolo per individuare la cardinalità dell'insieme dei simboli usato?

11-07-10 14:19

sydarex

#39
11-07-10 14:19

panzone

In linea puramente teorica è possibile. Il problema è che per ricavare la funzione con una approssimazione prossima allo zero serviranno migliaia ( se non forse milioni ) di codici.

Solo se nel calcolo non interviene alcun valore aleatorio.

mix ba'al

quella pagina non è in php, ha solo dei javascript quindi le info rimangono sul client. e anche se fosse php non c'è nessun pulsante di send che consenta il salvataggio un un db.

mix ba'al

in effetti è in php, ma è come avevo detto io: http://howsecureismypassword.net/faq/#safe
per provare se è in php basta che provi a collegarti a index.php no... oppure guardi nei link

Se solo la sicurezza informatica fosse così semplicistica.

mix ba'al

sono tutti algoritmi, relativamente semplici anche. i numeri delle carte ad esempio usano il famoso algoritmo di verifica MOD 10:
moltiplichi x 2 una cifra sì ed una no, partendo dalla prima
sommi tutte le cifre così ottenute
metti il risultato in mod 10 (cioè dividi per 10 e verifichi il resto); se il resto è 0 il numero della carta è valido.

Mmh, questo è l'algoritmo usato per il controllo degli errori.

Iron84

se proprio dovete farvi delle paranoie, usate un proxy e sniffate il traffico .___.

il conto delle combinazioni è di una banalità assurda cmq, ed è spiegato pure nel sito...cmq è "numero dei possibili simboli" ^ "numero dei simboli".

Certo, sono semplici disposizioni con ripetizione di N elementi di classe K.

Comunque è inutile. Nessuno utilizza il brute force, al limite il birthday attack.

11-07-10 14:24

Daniel Faraday

#40
11-07-10 14:24

La cagata sta nel fatto che non basta considerare l'ipotesi di un bruteforce... perchè molto spesso questi "calcoli" danno un risultato falso non considerando che gli attacchi più usati sono proprio i dictionary...

11-07-10 14:28

sydarex

#41
11-07-10 14:28

Daniel Faraday

La cagata sta nel fatto che non basta considerare l'ipotesi di un bruteforce... perchè molto spesso questi "calcoli" danno un risultato falso non considerando che gli attacchi più usati sono proprio i dictionary...

Ma neanche. L'attacco più usato è un qualsiasi attacco che aggiri la passsword. Quindi il cracking dell'applicazione web o il phishing della password.

11-07-10 14:30

Asax	#42 11-07-10 14:30

sydarex

Comunque è inutile. Nessuno utilizza il brute force, al limite il birthday attack.

La prima volta che ho sentito il "paradosso" ho letteralmente cagato mattoni. Non c'entra niente ma mene sono ricordato ora.

@ sydarex: hai cambiato sito? quello precedente mi piaceva di più...

11-07-10 14:49

kurojishi1 kurojishi1 è offline

#43
11-07-10 14:49

mix ba'al

sono tutti algoritmi, relativamente semplici anche. i numeri delle carte ad esempio usano il famoso algoritmo di verifica MOD 10:
moltiplichi x 2 una cifra sì ed una no, partendo dalla prima
sommi tutte le cifre così ottenute
metti il risultato in mod 10 (cioè dividi per 10 e verifichi il resto); se il resto è 0 il numero della carta è valido.

Mmh, questo è l'algoritmo usato per il controllo degli errori.

allora mi ricordavo bene mi era venuto un dubbio, ma sicuramente quello non è il controllo dei pin

se no sarebbe molto facile averli tutti giusti

11-07-10 15:10

Il Cavaliere Inesistente Il Cavaliere Inesistente è offline

#44
11-07-10 15:10

sydarex

Comunque è inutile. Nessuno utilizza il brute force, al limite il birthday attack.

Potresti approfondire? non ne avevo mai sentito parlare...

11-07-10 15:22

The Fresh Prince

#45
11-07-10 15:22

About 13 minutes for a desktop PC to crack your password

Discussione: Password, codici seriali, & Co. - algoritmo o caso?