Decrittare Hashed Password

GraveKeeper

Utente Èlite
6,937
3,159
CPU
AMD Ryzen 7 3700X
Dissipatore
Enermax LiqMax III ARGB 240 Nero ARGB
Scheda Madre
Asus Tuf Gaming B550-PLUS (WIFI)
HDD
Samsung 970 EVO Plus 500GB NVMe + Crucial MX500 1TB + 2 x WD10EZEX Blue 1TB
RAM
Adata XPG Spectrix 16gb (2x8) 3200Mhz RGB
GPU
Asus NVIDIA GeForce GTX 750ti OC 2GB (in attesa di meglio)
Audio
Behringer U-PHORIA UM2 (chissà, magari un giorno prenderò una Scarlett Solo)
Monitor
LG 27GN800 UltraGear QHD IPS 27" 1ms 144Hz
PSU
ITEK GF 750W 80Gold
Case
NZXT H510i Nero
Periferiche
Studio Monitor Speakers Presonus Eris E3.5, Audio Technica ATH-M30x
OS
Windows 10 Home 64-bit
Ok, allora ragazzi questa volta ho bisogno del vostro aiuto.

In pratica mi stavo guardando un video di BlackGeek in cui spiegava di essere stato hackerato e mi ha ricordato di questo sito


Allora ho detto cià, perchè no vediamo la mia mail.

E risulta che cavolo mi hanno bucato un account nell'aprile 2018 che avevo fatto 1 volta tantissimo tempo su emuparadise per scaricare un file che necessitava la registrazione (e qui mi sono mangiato le mani perchè cavolo, per 1 file chi me l'ha fatto fare di fare un account inutile che non ho mai più usato, tra l'altro credo di non avere più neanche il file, era una qualche rom per un emulatore ma sinceramente non mi ricordo quale, evidentemente non era niente che m'importasse davvero).

E dato che era linkato il sito su cui avevano reso pubblici i dati sono entrato per vederli. Tra l'altro per poterli vedere ho dovuto fare un account con una fake email che avevo in giro, perchè chi si fida a usare un email vera su un sito che distribuisce dati.

E niente, allora riesco a vedere i miei dati noti, della mail sincero non m'interessa molto che sia nota, il nome dell'account controllerò se l'ho usato da qualche altra parte e lo cambierò e fortunatamente l'ip non era accurato e indicava una località diversa da dove veramente abito.
Ora il problema arriva adesso: ho ovviamente subito cambiato la password dell'email così per sicurezza (se mi entrano nell'account di emuparadise non m'interessa nulla non so neanche se esiste ancora il sito), non ho una sola password ma alcune le uso per più siti. Solo che la password è stata pubblicata crittata con hash MD5 e, non riesco a decifrarla. Vorrei farlo per capire quale delle mie password avevo usato e cambiarla dovunque io la utilizzi.

Come dovrei fare? Non voglio postare la password crittata nè la mail per ovvii motivi. E potete darmi un esempio di codice crittato in MD5? Perchè non sono certo che l'intera stringa di caratteri del sito corrisponda, dato che ho provato qualche sito per decifrarla e non ci sono riuscito.

Se mai servirà posterò la password crittata qua, ma se dovrò farlo cambierò prima tutte le mie password (che purtroppo sono tante) e a questo punto la discussione non avrebbe più molto senso.

Grazie mille a chi può aiutarmi

Tra l'altro così ho capito come diavolo qualcuno era riuscito ad accedere al mio account microsoft qualche mese fa che ho subito scollegato da windows, probabilmente ho usato la stessa password. In realtà non ho dati sensibili importanti nella mail (ameno non credo), ma non vorrei cambiarla e non vorrei che qualcuno si approfittasse dei miei dati in futuro in qualche modo. MI piace prevenire più che curare
 

icox

Utente Attivo
497
246
MD5 non e' un sistema di cifratura ma una funzione di hash, ovvero un sistema che prende in input una stringa di lunghezza arbitraria e genera in output una stringa univoca di lunghezza predefinita, conseguentemente parte dell'informazione in input viene "persa" durante il processo. Non e' una funzione reversibile, ovvero dall'hash non puoi risalire all'input che lo ha generato.
Dal momento pero' che ogni input genera un hash diverso (salvo rari casi) quello che puoi fare e' generare gli hash di tutte le tue password e vedere se uno di questi coincide con quello che hai trovato su quel sito. Ammesso che abbiano applicato MD5 direttamente sulla tua password, se dovessero averla modificata (aggiungendo per esempio altre informazioni, cosidetto "salt") avrai un hash differente anche se la password/input e' la stessa.
 
  • Mi piace
Reazioni: GraveKeeper

GraveKeeper

Utente Èlite
6,937
3,159
CPU
AMD Ryzen 7 3700X
Dissipatore
Enermax LiqMax III ARGB 240 Nero ARGB
Scheda Madre
Asus Tuf Gaming B550-PLUS (WIFI)
HDD
Samsung 970 EVO Plus 500GB NVMe + Crucial MX500 1TB + 2 x WD10EZEX Blue 1TB
RAM
Adata XPG Spectrix 16gb (2x8) 3200Mhz RGB
GPU
Asus NVIDIA GeForce GTX 750ti OC 2GB (in attesa di meglio)
Audio
Behringer U-PHORIA UM2 (chissà, magari un giorno prenderò una Scarlett Solo)
Monitor
LG 27GN800 UltraGear QHD IPS 27" 1ms 144Hz
PSU
ITEK GF 750W 80Gold
Case
NZXT H510i Nero
Periferiche
Studio Monitor Speakers Presonus Eris E3.5, Audio Technica ATH-M30x
OS
Windows 10 Home 64-bit
MD5 non e' un sistema di cifratura ma una funzione di hash, ovvero un sistema che prende in input una stringa di lunghezza arbitraria e genera in output una stringa univoca di lunghezza predefinita, conseguentemente parte dell'informazione in input viene "persa" durante il processo. Non e' una funzione reversibile, ovvero dall'hash non puoi risalire all'input che lo ha generato.
Dal momento pero' che ogni input genera un hash diverso (salvo rari casi) quello che puoi fare e' generare gli hash di tutte le tue password e vedere se uno di questi coincide con quello che hai trovato su quel sito. Ammesso che abbiano applicato MD5 direttamente sulla tua password, se dovessero averla modificata (aggiungendo per esempio altre informazioni, cosidetto "salt") avrai un hash differente anche se la password/input e' la stessa.

Grazie per i chiarimenti! Non sono purtroppo un esperto di sicurezza informatica e sembrava una cifratura. Se la funzione non è reversibile significa che anche chiunque non può decifrare quella stringa? Così fosse non mi preoccupo nemmeno di cambiare password.

1587728817777.png

In ogni caso, accidenti, è salted quindi è modificata. Se salted, non dovrebbe comunque essere almeno un po' simile ma con delle differenze o è proprio diversa?
 

icox

Utente Attivo
497
246
No be le password cambiale in ogni caso. MD5 e' considerato obsoleto e non sicuro ma purtroppo pare sia ancora largamente utilizzato. Per quanto in generale non vi sia modo di "risalire" alla stringa che ha generato un hash, MD5 in particolare e' stato pensato per essere estremamente veloce ed una GPU moderna e' in grado di macinare milioni (se non miliardi) di hash al secondo, rendendo piu' semplici i banali attacchi bruteforce.

Il fatto che sia "salted" la rende un minimo piu' robusta e resistente ad attacchi basati su hash tables ma non e' comunque da considerarsi sicura. Per il tuo scopo temo che questo complichi ulteriormente le cose, anche perche' non ci e' dato sapere come e' stato applicato questo "salt"... A leggere quanto riportato pare fosse in uso vBullettin che se non sbaglio e' realizzato in PHP, quindi e' verosimile che abbiano usato una delle funzioni builtin di PHP per gli hash, ma siamo nel campo delle ipotesi "campate per aria", andrebbero fatte un po' di ricerche e di prove...
E' un lavoraccio e onestamente non credo ne valga la pena, penso sia piu' veloce ed efficace cambiare la password in tutti quei servizi in cui hai usato quella mail/username.
 

GraveKeeper

Utente Èlite
6,937
3,159
CPU
AMD Ryzen 7 3700X
Dissipatore
Enermax LiqMax III ARGB 240 Nero ARGB
Scheda Madre
Asus Tuf Gaming B550-PLUS (WIFI)
HDD
Samsung 970 EVO Plus 500GB NVMe + Crucial MX500 1TB + 2 x WD10EZEX Blue 1TB
RAM
Adata XPG Spectrix 16gb (2x8) 3200Mhz RGB
GPU
Asus NVIDIA GeForce GTX 750ti OC 2GB (in attesa di meglio)
Audio
Behringer U-PHORIA UM2 (chissà, magari un giorno prenderò una Scarlett Solo)
Monitor
LG 27GN800 UltraGear QHD IPS 27" 1ms 144Hz
PSU
ITEK GF 750W 80Gold
Case
NZXT H510i Nero
Periferiche
Studio Monitor Speakers Presonus Eris E3.5, Audio Technica ATH-M30x
OS
Windows 10 Home 64-bit
Capisco perfettamente...

Lo "sbatti" (se mi passate il termine), è che come ho detto non ho una sola password e qui me ne hanno presa una sola, quindi mi tocca cambiare anche tutte quelle che uso su altri servizi che non c'entrano niente. E ne ho, di account in giro
 

Entra

oppure Accedi utilizzando
Discord Ufficiale Entra ora!

Discussioni Simili