Czy możesz wymyślić schemat mieszania haseł?

Question

Mam dwa hasła i dwa wynikające z nich skróty. Nie mogę dowiedzieć się, jak hash pochodzi z hasła. Nie wiem, czy używa się solenia. Nie wiem, czy hasło jest hashed jako wartość całkowita lub jako ciąg znaków (ewentualnie Unicode).

Hasło: 6770 Hash: c12114b91a3841c143bbeb121693e80b

Hasło: 9591 Hash: 25238d578b6a61c2c54bfe55742984c1 długość

Haszysz zdaje się sugerować MD5. Ktoś ma jakieś pomysły, co mógłbym spróbować?

Uwaga: Ta funkcja nie jest przeznaczona do hakowania. Próbuję uzyskać dostęp do usługi za pośrednictwem interfejsu API zamiast klienta pulpitu i nie mogę wymyślić, jak obliczyć hash hasła. Obecnie zamiast używać mojego prawdziwego hasła, wysyłam bezpośrednio hasz.

Answer 1

Googling się te wartości hash (!) Ujawnia, że ​​25238d578b6a61c2c54bfe55742984c1 jest md2sum od "9591" (source), a strona ma inną stronę potwierdzającą taki sam dla 6770 i Twoja pierwsza wartość hash (source2).

(Edit: Ja od google się jakiś kod źródłowy MD2 i zweryfikowane mieszań.)

(Zmieniano ponownie komentować: Jesteś bardzo szczęśliwy, że API używa takiego strasznego systemu mieszającego bez solenie lub prefiksy! :-))

Answer 2

Dokumentacja API nie mówi? Dziwne.

Zasadniczo jest to problem niemożliwy - dowolna liczba różnych algorytmów mieszania może dawać takie same wyniki w dowolnej liczbie konkretnych przypadków, a następnie podać inny wynik, gdy pierwszy raz na nim polegasz.

W praktyce można jednak prawdopodobnie wypróbować kilka popularnych algorytmów kryptograficznych i zobaczyć, co one dają. Jeśli pasuje do kilku przypadkowo wybranych przypadków, prawdopodobnie ma rację. Złośliwa osoba może na przykład zmienić parę znaków (zamień "2" na "3" lub coś podobnego - nie zauważysz tego przy użyciu przykładowych haseł) przed zastosowaniem głównego algorytmu skrótu, ale jest to mało prawdopodobne w prawdziwych aplikacjach.

BTW - czterocyfrowe hasło jest tak samo bezpieczne, jak brak hasła.