Опубликованы исходные тексты инструментария L0phtCrack, предназначенного для восстановления паролей по хешам. Продукт развивается с 1997 года и в 2004 году был продан компании Symantec, но в 2006 году выкуплен тремя основателями проекта. В 2020 году проект поглотила компания Terahash, но в июле этого года права на код были возвращены изначальным авторам из-за невыполнение обязательств по сделке. В итоге, создатели L0phtCrack решили отказаться от поставки инструментария в форме проприетарного продукта и открыть исходные тексты...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=55986
Конечно, они это жёстко.
Использовать Qt и не делать кроссплатформу.
Или те коммерческие либы винонли?
Ну так бывает: не ставилось такой задачи.
> для восстановления паролейДа-да, именно для восстановления.
Восстановление чужих паролей, никакого лукавства. :)
Ну восстанови. Специально для тебя сгенерировал, восстанавливать этот пароль разрешаю, он вообще в реале нигде не используется, но никакой оплаты не будет. 8fc5b64377f9581bbdac40964c8bc438 . 256 бит энтропии в оригинале из /dev/random (39 символов длина, латинские буквы + цифры + пунктуация). Хэш - одиночный md5, чтобы тебе побыстрее было, а ведь можно было и Argon 2 взять. Или 737fa610141c32cbfc485494091db6d6 , тут уже всего лишь 20 символов и около 131 бита, причём этот пароль запомнить как нефиг делать.Восстановление паролей изначально бесперспективно, ибо у народа либо 1234, написанный на бумажке, которая приклеена к монитору, либо случайно сгенерированный.
у тебя есть 2 проеба1) 39 символов много для запоминания, запомнить рандомный пароль более реально, если это около 20 символов, но это все еще очень большая энтропия требующая миллирды лет вычислений
2) если бы не md5, который ты предлагаешь для валидации и доказательства взлома твоей жопки, ему достаточно будет найти хеш-коллизию, если поискать алгоритмы то самый эффективный на сегодня:
https://github.com/s1fr0/md5-tunneling, и его можно запустить на обычном домашнем железеесли я не ошибаюсь сложность получается 2^39 и при хешрейте всего в 1 млн операций в секунду, хеш можно посчитать за 152 часа
так что если он заморочиться, то готовь булки
>у тебя есть 2 проеба
>1) 39 символов много для запоминания, запомнить рандомный пароль более реально, если это около 20 символовВот второй как раз двадцать. Более длинные обычно берут из менеджеров.
>ему достаточно будет найти хеш-коллизию
Не коллизию, а второй прообраз. Коллизия - это если бы он дал 2 строки с одинаковым хешом. А тут ему надо найти строку с заданным хешом. И пусть найдёт сначала, учитывая что этим паролем вообще ничего ценного не закрыто.
>так что если он заморочиться, то готовь булки
Если он заморочится, то потратит электричество и ресурс аппаратуры на поиск прообраза к никому реально не нужному паролю, а мог бы на майнинг потратить. С самого начала было сказано - ОПЛАТЫ НЕ БУДЕТ. Ни в какой форме.
> Не коллизию, а второй прообраз. Коллизия - это если бы он дал 2 строки с одинаковым хешом.Гхм, вообще-то господин сказавший о хэш-колизии - прав:
https://security.googleblog.com/2017/02/announcing-first-sha...Два разных контента - выдают один и то же хэш = hash-collision
О-о-о, пардон, у вас компетишн - востановить 100% оригинал, а не вломаться куда-либо, тогда да, крутите дальше...
>Два разных контента - выдают один и то же хэш = hash-collisionНет. Два разных контента, НАЙДЕННЫХ ОДНОЙ И ТОЙ ЖЕ СТОРОНОЙ, - это коллизия. Суть тут в том, что сторона, ищущая коллизию может выбирать ОБА контента, а сторона ищущая второй прообраз может перебирать только один контент.
Игра для коллизии такая
A -------[H(X)]-------------------------> B
A <-[X1, X2 : H(X1) = H(X2) && X1 != X2]- B
Для second preimage
A --[H(X1), h, X1 : H(X) == h]----> B
A <--[X2 : H(X2) = h && X1 != X2]-- B
>а сторона ищущая второй прообраз может перебирать только один контент.Но вы же дали только хэш, а не контент, поэтому- чтоб вломиться куда-либо, то это пофигу, какой был оригинальный контент, т.к. хэш на сервере сойдется независимо от того, оригинальный контент был найден или прообраз
Товарищ, не чужих, а наших паролей.
Что-то опоздали с открытием лет на 10.
лучше поздно, чем никогда.
Ага копирастам стало не нужно и они открыли.
У меня дежа вю? Было вроде пару месяцев назад на тему тут сообщение..?
https://www.opennet.dev/opennews/art.shtml?num=55584
То был анонс. Теперь открыли. Лишний повод покудахтать, же.
> из-за невыполнения обязательств по сделкеИнтересно каких.
Как обычно - "и вот представляешь - в оппу он меня трахнул, а хлеба так и не дал. Ну не пи-рас?!"