qual è il modo più veloce ed economico per rompere questo tipo di hash - md5 (md5 ($ password) + salt))?

Naviga le tue risposte
3

Sto cercando un programma che possa utilizzare qualsiasi GPU (ATI \ NVIDIA) e che possa forzare un hash di vBulletin - md5 (md5 ($ password) + salt)).

Ho il sale e l'hash.

la password contiene i simboli - a-zA-z0-9, la lunghezza è di 7-8 caratteri.

Ho intenzione di eseguirlo su una piattaforma Windows (vorrei usare un programma gratuito)

se mi stai chiedendo perché lo sto facendo, sono proprietario di un grande forum, un mio amico ha cambiato la sua password per diversi account (mail, facebook, alcuni forum \ siti), si era dimenticato del suo nuova password (non può accedere ad alcuno dei servizi), è sicuro che ha usato la stessa password per tutti i servizi (solo copiati \ incollati) .. e che è bloccato (non può farci nulla - di sicuro ).

Grazie!

    
posta YSY 17.09.2011 - 02:42
fonte

3 risposte

8

Non ho esattamente il software che desideri. Tuttavia:

  • È possibile utilizzare qualsiasi implementazione MD5 esistente e scrivere il codice che lo richiama due volte per tutte le potenziali password. Vedi ad esempio sphlib ; sul mio PC (Core2 x86, 2,4 GHz), questo codice dovrebbe essere in grado di valutare oltre 6 milioni di hash MD5 al secondo, quindi sono 3 milioni di password al secondo con il tuo schema di hash doppio. Questo è per core: il mio PC è un quad-core, quindi la macchina completa potrebbe arrivare a 12 milioni di password al secondo.

  • La maggior parte dei processori x86 offre opcode SSE2: istruzioni che possono calcolare contemporaneamente quattro operazioni a 32 bit. Usando il intrinseco del compilatore C (supportato da Visual C, il compilatore C Intel e GCC), puoi utilizzarli senza mettere le mani in un assemblaggio scritto a mano. Utilizzando questi codici opzionali, è possibile calcolare quattro istanze MD5 in parallelo. Stimo che il mio PC dovrebbe essere in grado di provare 30 milioni di password al secondo con una tale implementazione (ho provato con SHA-1, che è simile a MD5).

  • Con una GPU 9800 GTX + Nvidia, dovresti riuscire a provare fino a 100 milioni di password al secondo (ancora una volta, una stima: posso fare 160 milioni di SHA-1 al secondo su quella macchina, quindi 200 milioni di MD5 sono una cifra ragionevole). Questa non è una GPU top-of-the-line (l'ho acquistata a gennaio 2009); con una scheda più recente, sono realizzabili 500 milioni di password al secondo.

Con 500 milioni di password al secondo, è possibile esplorare l'intero spazio delle password fino a 8 caratteri (nell'intervallo alfanumerico che si cita) in circa una settimana. È fattibile. È anche un esercizio di programmazione interessante.

    
risposta data 17.09.2011 - 21:38
fonte
4

In tutta onestà, sei ossessionato se vuoi farlo a buon mercato e velocemente. Ma, perché no, è un sabato schifoso, quindi diamo un giro.

John the Ripper è la soluzione migliore. Vi suggerisco di leggere su di esso. Ha molte funzioni che possono essere utilizzate per il bene o per il male.

Il numero di password che stai cercando di bruteforce è nell'area di 218,340,105,584,896. A 1,2 milioni di ipotesi al secondo, sono circa 5,8 anni. E questo presume che tu stia usando quello strumento giusto. Dal momento che conosce parte della password, è necessario generare la propria lista di parole.

Potresti anche distribuire il cracking a più computer, ogni processore che aggiungi ridurrebbe il tempo a metà, a dare o prendere. Non è economico, soprattutto se lo vuole nella prossima settimana o giù di lì. Ci vorrebbero più di 300 computer per consegnare questa password in una settimana, garantita.

È molto meglio tentare di chiamare i luoghi in cui desidera reimpostare la password e sperare che possano aiutarlo o aprire tutti i nuovi account. Se il crack delle password fosse facile, nessuno avrebbe usato le password.

Mike

    
risposta data 17.09.2011 - 21:04
fonte
1

oclHashCat (sia -lite che -plus) sostiene il supporto per:

  • vBulletin < v3.8.5
  • vBulletin > v3.8.5

È un cracker password molto veloce, basato su GPU.

    
risposta data 14.12.2012 - 17:58
fonte

Leggi altre domande sui tag

Come posso determinare facilmente se un'azienda di sicurezza di un sito Web è affidabile? Le password di hashing con bcrypt e una costante non sono più sicure di SHA1?