Es prácticamente 100%, probablemente sea 99.999999, es como cuandose hace un test probabilistico de primalidad, llega un momento que las probabilidades de error son muuy bajas.
- Bienvenido a Test Foro de elhacker.net SMF 2.1.
Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
#491
Hacking Wireless / Re: Dudas. 1) Me pide 250.000 Ivs?; 2) Apple y Alfa Network
7 Diciembre 2010, 13:29 PM #492
Noticias / Re: 'Las contraseñas son una mala idea'
7 Diciembre 2010, 04:04 AM
Claro que si, pero hay que ver si te la acordas, aparte, cuando la entrás, es bastante obvio que estás haciendo permutación de mayúsculas y minúsculas, y el último es claro una arroba.
Es vulnerable a shouldersurfing. jeje
Es vulnerable a shouldersurfing. jeje
#493
Noticias / Re: 'Las contraseñas son una mala idea'
7 Diciembre 2010, 02:10 AM
Mmh, me parece que es "ElGamal" con "l", en cuanto a lo que dice, es muy cierto. Cuantas veces uno pudo crackear una contraseña, ya sea guardada en un hash o probando algunas al azar en un login porque era muy debil?
Cuántas veces uno ve contraseñas como "qwerty" "1234" "asdfgh"?
Sin embargo, las contraseñas presentan al usuario algo que las claves entrópicas no pueden, facilidad para memorizarlas. Nadie puede leer nuestra mente, por lo menos aún. Las contraseñas entrópicas se pueden memorizar claro, pero es mucho más dificil.
Como bien dice el artículo, la solución es un punto medio, entre las claves entrópicas y las contraseñas débiles. Las passphrases.
Para conseguir el mismo nivel de entropía en una clave de 8 bytes que utiliza todo el charset ascii, utilizando solo las 26 letras minúsculas del alfabeto estándar, esta tiene que ser de 78 bytes. Claro que si a esto, le agregamos las 26 letras mayúsculas, números, acentos, espacios la coma y el punto, el charset ya se amplía a 70 caracteres (26 + 26 + 10 + 5 + 3). Y la contraseña, debe ser de sólo 30 caracteres, lo cual se puede conseguir fácilmente con una frase.
Por ejemplo tener una contraseña que diga "Realmente, me parece que las contraseñas cortas son una falla de seguridad." es algo muy seguro en el día de hoy.
Claro que si esto se generaliza, entonces se crearán diccionarios que contengan frases comunes, dichos, partes de canciones y todo lo que uno se pueda poner en el nick del messenger. Y de ahí nacerán tablas precomputadas basadas en diccionarios, etc.
Sin embargo, con frases lo suficientemente originales, se podrían hacer contraseñas virtualmente incrackeables.
Un abrazo
APOKLIPTICO.
Cuántas veces uno ve contraseñas como "qwerty" "1234" "asdfgh"?
Sin embargo, las contraseñas presentan al usuario algo que las claves entrópicas no pueden, facilidad para memorizarlas. Nadie puede leer nuestra mente, por lo menos aún. Las contraseñas entrópicas se pueden memorizar claro, pero es mucho más dificil.
Como bien dice el artículo, la solución es un punto medio, entre las claves entrópicas y las contraseñas débiles. Las passphrases.
Para conseguir el mismo nivel de entropía en una clave de 8 bytes que utiliza todo el charset ascii, utilizando solo las 26 letras minúsculas del alfabeto estándar, esta tiene que ser de 78 bytes. Claro que si a esto, le agregamos las 26 letras mayúsculas, números, acentos, espacios la coma y el punto, el charset ya se amplía a 70 caracteres (26 + 26 + 10 + 5 + 3). Y la contraseña, debe ser de sólo 30 caracteres, lo cual se puede conseguir fácilmente con una frase.
Por ejemplo tener una contraseña que diga "Realmente, me parece que las contraseñas cortas son una falla de seguridad." es algo muy seguro en el día de hoy.
Claro que si esto se generaliza, entonces se crearán diccionarios que contengan frases comunes, dichos, partes de canciones y todo lo que uno se pueda poner en el nick del messenger. Y de ahí nacerán tablas precomputadas basadas en diccionarios, etc.
Sin embargo, con frases lo suficientemente originales, se podrían hacer contraseñas virtualmente incrackeables.
Un abrazo
APOKLIPTICO.
#494
Hacking Wireless / Re: Dudas. 1) Me pide 250.000 Ivs?; 2) Apple y Alfa Network
6 Diciembre 2010, 21:29 PM
http://foro.elhacker.net/hacking_wireless/vulnerabilidades_del_cifrado_wep-t54992.0.html
Ahí tenes para empezar, hay también en la pagina de aircrack-ng. Pero realmente, tendrías que usar el buscador del foro y google antes de preguntar estas cosas, que están habladisimas en el foro.
Ahí tenes para empezar, hay también en la pagina de aircrack-ng. Pero realmente, tendrías que usar el buscador del foro y google antes de preguntar estas cosas, que están habladisimas en el foro.
#495
Criptografía / Re: wikileaks y aes-256
6 Diciembre 2010, 15:53 PM
Técnicamente, la ley de Moore, dice que cada 24 meses (2 años) se duplica la capacidad computacional media. Sin embargo, este también predijo que después del 2015, esto se reducirá a 18 meses (1 año y medio). Siendo que se necesitaría aproximadamente 1000 billones de veces la capacidad computacional media para crackear en una pc común un aes 256 en un poco más de medio año, se necesitarían 50 períodos (2^50 = 1125.899.906.842.624) para llegar a dicha capacidad.
Entonces, 50 períodos serían 3 de 2 años y 47 de un año y medio = 76.5 años.
Sin embargo, es más posible que se logre encontrar alguna falla al AES que permita crackearlo de manera feasible antes de que se pueda crackear con fuerza bruta.
Entonces, 50 períodos serían 3 de 2 años y 47 de un año y medio = 76.5 años.
Sin embargo, es más posible que se logre encontrar alguna falla al AES que permita crackearlo de manera feasible antes de que se pueda crackear con fuerza bruta.
#496
Criptografía / Re: wikileaks y aes-256
6 Diciembre 2010, 14:45 PM
AES-256 es el estándar criptográfico más seguro por ahora, existe un related-key attack, que permite conseguir la clave con una complejidad de 2^99.5, que es bastante significativo, pero aún infeasible.
Hagamos algunas estimaciones:
Con mi CPU que es muy pobre (Sempron 2500+)
Puedo probar aproximadamente 151.500/seg.
Por experiencias anteriores, asumo que mi GPU (ATI HD4850 con OC) puede crackear aprox 58.250.000/seg.
Se que mi hd4850 tiene una potencia overclockeada de 1.28 Tflops. Y asumo que mi CPU tiene una potencia de 3,32 Gflops.
Se que la mayor nube de computación que es folding@home, posee 4.3 PetaFlops. (1 Peta = 1024 Tera).
Entonces estimo que la mayor nube de computación del mundo, puede crackear 195.683.593.750/seg.
Sabiendo que la menor complejidad conseguida y asumiendo que es igual de eficiente el ataque, conseguiremos la clave para descifrar el famoso archivo de wikileaks en aproximadamente: 145.252.476.606 Años, 155 días.
Aunque tengamos 1.000.000 de veces esa capacidad computacional (que es suficiente para armar un modelo meteorológico cuasi perfecto en un par de semanas), todavía tardaríamos 145.253 Años. Si multiplicamos por mil dicha capacidad (que es suficiente para simular el funcionamiento de un cerebro y crear inteligencia artificial real como la de las películas de ciencia ficción) tardaríamos aún 145 años.
Conclusión: Si, es lo suficientemente seguro.
Un abrazo
APOKLIPTICO
Hagamos algunas estimaciones:
Con mi CPU que es muy pobre (Sempron 2500+)
Puedo probar aproximadamente 151.500/seg.
Por experiencias anteriores, asumo que mi GPU (ATI HD4850 con OC) puede crackear aprox 58.250.000/seg.
Se que mi hd4850 tiene una potencia overclockeada de 1.28 Tflops. Y asumo que mi CPU tiene una potencia de 3,32 Gflops.
Se que la mayor nube de computación que es folding@home, posee 4.3 PetaFlops. (1 Peta = 1024 Tera).
Entonces estimo que la mayor nube de computación del mundo, puede crackear 195.683.593.750/seg.
Sabiendo que la menor complejidad conseguida y asumiendo que es igual de eficiente el ataque, conseguiremos la clave para descifrar el famoso archivo de wikileaks en aproximadamente: 145.252.476.606 Años, 155 días.
Aunque tengamos 1.000.000 de veces esa capacidad computacional (que es suficiente para armar un modelo meteorológico cuasi perfecto en un par de semanas), todavía tardaríamos 145.253 Años. Si multiplicamos por mil dicha capacidad (que es suficiente para simular el funcionamiento de un cerebro y crear inteligencia artificial real como la de las películas de ciencia ficción) tardaríamos aún 145 años.
Conclusión: Si, es lo suficientemente seguro.
Un abrazo
APOKLIPTICO
#497
Hacking Wireless / Re: Dudas. 1) Me pide 250.000 Ivs?; 2) Apple y Alfa Network
6 Diciembre 2010, 14:13 PM
Bueno, esto está más que hablado en el foro y hay hartos de tutoriales. Tenés que reinyectar el tráfico para generar más datas.
#498
Criptografía / Re: Como cifrar contraseñas con SHA-1 en PHP???
6 Diciembre 2010, 14:11 PM
Nono, esto no está en contra de las normas, excepto lo de poner el correo en un post.
Si querés pasar un correo, tenés que mandar un PM, lee las reglas.
Mirá, en cuanto a eso, yo realmente soy muy principiante con php, programo en C/C++ y en VB.
Pero mirá, cualquier duda que tengas, vení y postea en el foro, que nosotros te vamos a tratar de ayduar todo lo posible.
Si querés pasar un correo, tenés que mandar un PM, lee las reglas.
Mirá, en cuanto a eso, yo realmente soy muy principiante con php, programo en C/C++ y en VB.
Pero mirá, cualquier duda que tengas, vení y postea en el foro, que nosotros te vamos a tratar de ayduar todo lo posible.
#499
Criptografía / Re: Como cifrar contraseñas con SHA-1 en PHP???
6 Diciembre 2010, 02:44 AM
Mira, primero, parece que no tenés muy claro el concepto de hash, paso a explicar:
Un hash es un algoritmo matemático que permite teniendo una mensaje de entrada de longitud variable, tener un mensaje de salida de longitud fija y al mismo tiempo que no sea reversible. Es decir, que si Hash(m) = H, teniendo "H" no se pueda conseguir (fácilmente) "m".
Uno se preguntará, de que sirve esto?
Si uno guarda una contraseña en plaintext, cualquier persona que tenga acceso al lugar donde está guardado, la podría ver sin ningun problema. En cambio, si se guarda el hash de la contraseña, es otra cosa, ya que la persona debería primero crackear el hash para luego poder usar la contraseña.
Un hash es un algoritmo determinístico, esto quiere decir que dado una mensaje de entrada "m" la salida va a ser siempre igual mientras "m" no varíe.
Un algoritmo de login seguro, toma la contraseña del usuario, y la envía en forma de hash. Cuando el servidor recibe este hash, lo compara con el hash que tiene en la base de datos. Si son iguales, permite el login, si no son iguales, no lo permite.
Aplicado a esto, primero tenes que saber como está cifrado el hash de la base de datos, dependiendo con que estés trabajando, puede variar el algoritmo.
Un "salt" es una cadena de bits que se agregan al principio o al final del mensaje antes de hashearlo, esto evita ciertos tipos de ataques como rainbow tables, dejando como única opción, la fuerza bruta. La ventaja del salt, es que no exige mayores recursos al servidor.
Con lo de "pasarlo varias veces", me refería a hacer hashes de hashes de esta manera:
m = mensaje s = salt.
Hash(Hash(Hash(m+s)+s)+s) y así sucesivamente...
El problema de esto es que consume recursos del servidor.
Un hash es un algoritmo matemático que permite teniendo una mensaje de entrada de longitud variable, tener un mensaje de salida de longitud fija y al mismo tiempo que no sea reversible. Es decir, que si Hash(m) = H, teniendo "H" no se pueda conseguir (fácilmente) "m".
Uno se preguntará, de que sirve esto?
Si uno guarda una contraseña en plaintext, cualquier persona que tenga acceso al lugar donde está guardado, la podría ver sin ningun problema. En cambio, si se guarda el hash de la contraseña, es otra cosa, ya que la persona debería primero crackear el hash para luego poder usar la contraseña.
Un hash es un algoritmo determinístico, esto quiere decir que dado una mensaje de entrada "m" la salida va a ser siempre igual mientras "m" no varíe.
Un algoritmo de login seguro, toma la contraseña del usuario, y la envía en forma de hash. Cuando el servidor recibe este hash, lo compara con el hash que tiene en la base de datos. Si son iguales, permite el login, si no son iguales, no lo permite.
Aplicado a esto, primero tenes que saber como está cifrado el hash de la base de datos, dependiendo con que estés trabajando, puede variar el algoritmo.
Un "salt" es una cadena de bits que se agregan al principio o al final del mensaje antes de hashearlo, esto evita ciertos tipos de ataques como rainbow tables, dejando como única opción, la fuerza bruta. La ventaja del salt, es que no exige mayores recursos al servidor.
Con lo de "pasarlo varias veces", me refería a hacer hashes de hashes de esta manera:
m = mensaje s = salt.
Hash(Hash(Hash(m+s)+s)+s) y así sucesivamente...
El problema de esto es que consume recursos del servidor.
#500
Hacking Wireless / Re: Dudas. 1) Me pide 250.000 Ivs?; 2) Apple y Alfa Network
6 Diciembre 2010, 02:26 AM
1) Necesitas 250.000 IVs para descifrar con una probabilidad del 100% una clave de 40 bits y 1.000.000 IVs para descifrar con una probabilidad del 100% una de 104 bits. IV = initialization vector es una cadena de bits que permite a un generador pseudoaleatorio situarse en una determinada posición en su output para generar el keystream que permita descifrar los paquetes cifrados. Hay muchísima información sobre este tema, tanto en google como en este mismo foro.
2) Sorry, no manejo apples.
2) Sorry, no manejo apples.