דחוף!!! לא זוכר את הסיסמה של הקובץ אקסל!!
-
@WWW מסברא אתה צודק אבל הם כותבים מפורש איך הם עובדים, הבאתי ציטוט.
חוץ מזה אתה מוזמן לנסות משהו מקורי, למשל d@*f7. זה קצר (יחסית...) אם מדובר בכח גס.@dovid אמר בדחוף!!! לא זוכר את הסיסמה של הקובץ אקסל!!:
@WWW מסברא אתה צודק אבל הם כותבים מפורש איך הם עובדים, הבאתי ציטוט.
חשבתי שאתה רוצה להוכיח מזה שלא מצאו את הסיסמה שלך שהם עובדים רק על מילון.
וד"א לעצם העניין, המילון לכאורה זה, בחלקו עכ"פ, ביטויי סיסמאות שנמצאו בפריצות מסדי נתונים של סיסמאות, לא?
-
מישהו יכול להלות כאן קובץ דמו מוגן עם סיסמא (לא מותקן לי אופיס)?
-
מישהו יכול להלות כאן קובץ דמו מוגן עם סיסמא (לא מותקן לי אופיס)?
-
@משחזר-מידע איזה רמה של סיסמה טוב לך?
-
@משחזר-מידע
איזה סוג קובץ? -
מישהו יכול להלות כאן קובץ דמו מוגן עם סיסמא (לא מותקן לי אופיס)?
@משחזר-מידע אמר בדחוף!!! לא זוכר את הסיסמה של הקובץ אקסל!!:
מישהו יכול להלות כאן קובץ דמו מוגן עם סיסמא (לא מותקן לי אופיס)?
בבקשה:
superduperencrypted.xlsx -
@משחזר-מידע אמר בדחוף!!! לא זוכר את הסיסמה של הקובץ אקסל!!:
מישהו יכול להלות כאן קובץ דמו מוגן עם סיסמא (לא מותקן לי אופיס)?
בבקשה:
superduperencrypted.xlsx@yossiz אמר בדחוף!!! לא זוכר את הסיסמה של הקובץ אקסל!!:
@משחזר-מידע אמר בדחוף!!! לא זוכר את הסיסמה של הקובץ אקסל!!:
מישהו יכול להלות כאן קובץ דמו מוגן עם סיסמא (לא מותקן לי אופיס)?
בבקשה:
superduperencrypted.xlsxכמה תווים ואיזה סוג תווים?
-
@yossiz אמר בדחוף!!! לא זוכר את הסיסמה של הקובץ אקסל!!:
@משחזר-מידע אמר בדחוף!!! לא זוכר את הסיסמה של הקובץ אקסל!!:
מישהו יכול להלות כאן קובץ דמו מוגן עם סיסמא (לא מותקן לי אופיס)?
בבקשה:
superduperencrypted.xlsxכמה תווים ואיזה סוג תווים?
-
@משחזר-מידע אמר בדחוף!!! לא זוכר את הסיסמה של הקובץ אקסל!!:
מישהו יכול להלות כאן קובץ דמו מוגן עם סיסמא (לא מותקן לי אופיס)?
בבקשה:
superduperencrypted.xlsx@yossiz אמר בדחוף!!! לא זוכר את הסיסמה של הקובץ אקסל!!:
בבקשה:
תודה
רק רציתי לראות באיזה הצפנה מדובר<?xml version="1.0" encoding="UTF-8" standalone="yes"?> <encryption xmlns="http://schemas.microsoft.com/office/2006/encryption" xmlns:p="http://schemas.microsoft.com/office/2006/keyEncryptor/password" xmlns:c="http://schemas.microsoft.com/office/2006/keyEncryptor/certificate"> <keyData saltSize="16" blockSize="16" keyBits="256" hashSize="64" cipherAlgorithm="AES" cipherChaining="ChainingModeCBC" hashAlgorithm="SHA512" saltValue="MJXPjFaEW7owXFz2jgRHZg=="/> <dataIntegrity encryptedHmacKey="V2f0i/GwT1kTSN8eBLZiDKd6MNvLn0Jh/aZyz1GZxrAy0F4z+4ykX3083e92VisvFEuRWLv7WwMuVPNnGbx3nA==" encryptedHmacValue="8Yu+ucZf6OrWxETJA3LtsyjCsS2934KEQAiF0N/6T8sPD7hxPs0wedsQ9zfm/1/yVR/RHHlsByKbz+7kfbFEaQ=="/> <keyEncryptors><keyEncryptor uri="http://schemas.microsoft.com/office/2006/keyEncryptor/password"> <p:encryptedKey spinCount="100000" saltSize="16" blockSize="16" keyBits="256" hashSize="64" cipherAlgorithm="AES" cipherChaining="ChainingModeCBC" hashAlgorithm="SHA512" saltValue="Y1mZb5Wl6o9qfZLRvF23kg==" encryptedVerifierHashInput="yKgak6CNNunhfJB+ZS81NA==" encryptedVerifierHashValue="wYSbf6hAtLmhLM3WsCns4YIwHymMAi1gTL+bKd+J8mni43prRzTvQHhg4d/0U6twxzIC81aNPGhDIzPULlfbHw==" encryptedKeyValue="ldQh7ILMz8gSMQUhtqwFeT477LFYvqrIuYwJbNufIsI="/> </keyEncryptor></keyEncryptors></encryption> -
@yossiz אמר בדחוף!!! לא זוכר את הסיסמה של הקובץ אקסל!!:
בבקשה:
תודה
רק רציתי לראות באיזה הצפנה מדובר<?xml version="1.0" encoding="UTF-8" standalone="yes"?> <encryption xmlns="http://schemas.microsoft.com/office/2006/encryption" xmlns:p="http://schemas.microsoft.com/office/2006/keyEncryptor/password" xmlns:c="http://schemas.microsoft.com/office/2006/keyEncryptor/certificate"> <keyData saltSize="16" blockSize="16" keyBits="256" hashSize="64" cipherAlgorithm="AES" cipherChaining="ChainingModeCBC" hashAlgorithm="SHA512" saltValue="MJXPjFaEW7owXFz2jgRHZg=="/> <dataIntegrity encryptedHmacKey="V2f0i/GwT1kTSN8eBLZiDKd6MNvLn0Jh/aZyz1GZxrAy0F4z+4ykX3083e92VisvFEuRWLv7WwMuVPNnGbx3nA==" encryptedHmacValue="8Yu+ucZf6OrWxETJA3LtsyjCsS2934KEQAiF0N/6T8sPD7hxPs0wedsQ9zfm/1/yVR/RHHlsByKbz+7kfbFEaQ=="/> <keyEncryptors><keyEncryptor uri="http://schemas.microsoft.com/office/2006/keyEncryptor/password"> <p:encryptedKey spinCount="100000" saltSize="16" blockSize="16" keyBits="256" hashSize="64" cipherAlgorithm="AES" cipherChaining="ChainingModeCBC" hashAlgorithm="SHA512" saltValue="Y1mZb5Wl6o9qfZLRvF23kg==" encryptedVerifierHashInput="yKgak6CNNunhfJB+ZS81NA==" encryptedVerifierHashValue="wYSbf6hAtLmhLM3WsCns4YIwHymMAi1gTL+bKd+J8mni43prRzTvQHhg4d/0U6twxzIC81aNPGhDIzPULlfbHw==" encryptedKeyValue="ldQh7ILMz8gSMQUhtqwFeT477LFYvqrIuYwJbNufIsI="/> </keyEncryptor></keyEncryptors></encryption>@משחזר-מידע והמידע באמת מרשים, 10 אלף spincount...
אוקי, כעת מה אתה אומר? הFBI יצליח או לא?- מנטור אישי בתכנות והמסתעף – להתקדם לשלב הבא!
- בכל נושא אפשר ליצור קשר dovid@tchumim.com
-
@משחזר-מידע והמידע באמת מרשים, 10 אלף spincount...
אוקי, כעת מה אתה אומר? הFBI יצליח או לא?@dovid אמר בדחוף!!! לא זוכר את הסיסמה של הקובץ אקסל!!:
והמידע באמת מרשים, 10 אלף spincount...
אם אני יודע לקרוא טוב זה 100 אלף
<p:encryptedKey spinCount="100000" saltSize="16" blockSize="16" keyBits="256" hashSize="64" cipherAlgorithm="AES"ניתן לפנות אלי גם ב al0548446188@gmail.com
ותמיד... אבל תמיד תוכלו לשאול אותי ב :) כאן שאלות באקסל -
@dovid אמר בדחוף!!! לא זוכר את הסיסמה של הקובץ אקסל!!:
והמידע באמת מרשים, 10 אלף spincount...
אם אני יודע לקרוא טוב זה 100 אלף
<p:encryptedKey spinCount="100000" saltSize="16" blockSize="16" keyBits="256" hashSize="64" cipherAlgorithm="AES"@אוריי אכן, זה מטורף.
אז 20 סיסמאות לשניה זה הרבה.- מנטור אישי בתכנות והמסתעף – להתקדם לשלב הבא!
- בכל נושא אפשר ליצור קשר dovid@tchumim.com
-
@dovid
תכלס החכמתי הרבה מהנושא הזה
כך שאני בדרך להתייאש
......
הסיכוי שאני יזכור את הסיסמה הוא קרוב לאפסי כי זה מלפני איזה 3 או 4 שנים...@משחזר-מידע
הרבה תודה שהחכמתם אותי@dovid אמר בדחוף!!! לא זוכר את הסיסמה של הקובץ אקסל!!:
אוקי, כעת מה אתה אומר? הFBI יצליח או לא?
נראה שהיחידים שאולי יכולים לפרוץ זה מייקרוסופט בעצמם אבל למה שיפרצו לי...
ניתן לפנות אלי גם ב al0548446188@gmail.com
ותמיד... אבל תמיד תוכלו לשאול אותי ב :) כאן שאלות באקסל -
@dovid אמר בדחוף!!! לא זוכר את הסיסמה של הקובץ אקסל!!:
אז 20 סיסמאות לשניה זה הרבה.
שמעת על rainbow ?
-
@dovid אמר בדחוף!!! לא זוכר את הסיסמה של הקובץ אקסל!!:
אז 20 סיסמאות לשניה זה הרבה.
שמעת על rainbow ?
-
@משחזר-מידע בשביל זה יש saltSize="16"...
-
@dovid
תכלס החכמתי הרבה מהנושא הזה
כך שאני בדרך להתייאש ......
הסיכוי שאני יזכור את הסיסמה הוא קרוב לאפסי כי זה מלפני איזה 3 או 4 שנים...@משחזר-מידע
הרבה תודה שהחכמתם אותי@dovid אמר בדחוף!!! לא זוכר את הסיסמה של הקובץ אקסל!!:
אוקי, כעת מה אתה אומר? הFBI יצליח או לא?
נראה שהיחידים שאולי יכולים לפרוץ זה מייקרוסופט בעצמם אבל למה שיפרצו לי...
-
@dovid @משחזר-מידע
אני יודע להשתמש עם תוכנות פריצה (ויש לי אוסף גדול שלהם) אבל אני לא מכיר את המושגים.
אם אפשר קצת הסבר על spincount, rainbow, saltSize.@yits
בהצפנה לוקחים את הקלט (הקובץ וורד למשל) ועושים לו שינויים רבים (להלן הצפנה) בהתאם למפתח שאמור להיות הסיסמה.הסיסמה לא משמשת ישירות כמפתח
יש שתי סיבות שלא מצפינים ישירות בסיסמת המשתמש:
א. היא נורא קצרה - כדי שיהיה קשה לפענח את התוצאה המוצפנת נדרש שמפתח ההצפנה לא תהיה קצרה, במקרה שלנו למשל משתמשים במפתח בגודל של 32 תווים (keyBits="256").
ב. היא מצומצמת מאוד באקראיות שלה (משתמש מחשב רגיל יכול להקליד אותיות ולא כל צירוף סיביות, כמו"כ הוא בוחר בד"כ רק באותיות השמישות).הערבול, ומספר הערבולים
לכן עושים משהו פשוט. לוקחים את הסיסמה של המשתמש, ושמים אותה במיקסר רציני, שמוציא ממנה משפט ארוך ארוך של תווים.
קוראים לפעולה הזו hash, יש לזה הרבה אלגוריתמים כמו הMD5 המפורסם (כלי אונליין להמחשה). במקרה שלנו זה SHA512 (hashAlgorithm="SHA512").
הhash ברוב נפלאותיו מייצר טקסט ענק מכל פיסת מידע הכי קטנה, והטקסט הזה שונה לחלוטין על כל שינוי הכי קטן בפיסה המקורית.
הhash פותר את שני הבעיות:
א. הוא ארוך בהרבה מהסיסמה הרגילה
ב. כל שינוי בסיסמה יוצר hash שונה לחלוטין כך שמקוריות הכי קטנה של המשתמש מתורגמת לאקראיות רחבה יותר.למי שמנסה לנחש סיסמה כל זה לא משנה כלום. הוא פשוט מנסה לנחש את הסיסמה הקצרה של המשתמש, ואח"כ מעביר את זה את הערבול המתאים ושלום. אבל למי שמנסה לנחש את התוכן מתוך ההצפנה, האורכים האלה הופכים את זה לבתי אפשרי.
פעולת הניחוש
בא נדבר כעת על מי שמנסה לנחש סיסמה. הניחוש נשען על כך שהמשתמשים ברובם בוחרים סיסמאות קלות להחריד כמו 123456 או במקרה המחמיר Abc123. כעת רק צריך לנחש סיסמה אחרי סיסמה (ולעביר אותה ערבול כזכור) עד שמגיעים לסיסמה ה"מקורית" המתאימה.
אז אנו רוצים לגרום למי שמנסה לנחש שלא יהיה לו קל. גם ככה קצת קשה לו, כי לנסות כל פעם סיסמה ולהעביר אותה ערבול זה סרבול (ערבול = סרבול :)).
אז כדי להקשות עליו עוד יותר אנחנו קובעים שלא די בערבול בודד. יש לערבל את הסיסמה פעם אחת, ואת מה שיוצא מהערבול לערבל, ואת מה שיוצא מזה לערבל שוב, וכן הלאה 100 אלף פעמים... (זה ה זה לקוח משאבי עיבוד קטנים לפעם אחת, אבל מי שמנחש לא מספיק לו פעם אחת.Rainbow
פה באה ההתקפה של rainbow table שזה משהו מאוד פשוט. מכינים טבלה ובמקום לאסוף בה רק את הסיסמאות הנפוצות, שומרים לצד כל סיסמה את הערבול שלה. ערבול בודד, ערבול מאה אלף פעמים וכו' לפי השיטות הרווחות בשוק. ככה כשבאים לנחש אין צורך לעבור את הערבול על כל ניחוש, מנסים ישר עם הערכים המקושקשים הללו.
מלח...
בשביל זה צריך שהערבול יהיה ספציפי כמה שיותר לכל מקרה, במילים אחרות שכל מקרה יצטרך טבלה משלו ואז החזרנו את התוקף המנחש לקושי המקורי (כי להכין את הטבלה פעם ראשונה זה לוקח זמן באותה מידה כמו לנחש ישירות).
לכן, לפני כל הערבולים, התוכנה המצפינה מוסיפה "מלח" (salt) לסיסמה. אם הסיסמה היא Abc123 התוכנה מוסיפה לזה טקסט, ורק אז מערבלת. ה"מלח" הזה לא סודי, כי אחרת לא יכולו גם לפתוח את ההצפנה בהינתן הסיסמה, התוקף יודע את הטקסט אבל זה מונע ממנו להשתמש בטבלה מוכנה שהתאימה לסיסמאות ללא מלח או עם מלח אחר.
גם אם התוכנה תוסיף קבוע את אותו טקסט לסיסמה, עדיין זה יגביל את הפורץ מאוד כי הוא יצטרך טבלאות ספציפיות לתוכנה הספצפית. אולם במקרה של אופיס המלח הוא אקראי, כך ששום טבלה מוכנת לא תעזור. במקרה שלנו המלח הואsaltValue="MJXPjFaEW7owXFz2jgRHZg==". -
@yits
בהצפנה לוקחים את הקלט (הקובץ וורד למשל) ועושים לו שינויים רבים (להלן הצפנה) בהתאם למפתח שאמור להיות הסיסמה.הסיסמה לא משמשת ישירות כמפתח
יש שתי סיבות שלא מצפינים ישירות בסיסמת המשתמש:
א. היא נורא קצרה - כדי שיהיה קשה לפענח את התוצאה המוצפנת נדרש שמפתח ההצפנה לא תהיה קצרה, במקרה שלנו למשל משתמשים במפתח בגודל של 32 תווים (keyBits="256").
ב. היא מצומצמת מאוד באקראיות שלה (משתמש מחשב רגיל יכול להקליד אותיות ולא כל צירוף סיביות, כמו"כ הוא בוחר בד"כ רק באותיות השמישות).הערבול, ומספר הערבולים
לכן עושים משהו פשוט. לוקחים את הסיסמה של המשתמש, ושמים אותה במיקסר רציני, שמוציא ממנה משפט ארוך ארוך של תווים.
קוראים לפעולה הזו hash, יש לזה הרבה אלגוריתמים כמו הMD5 המפורסם (כלי אונליין להמחשה). במקרה שלנו זה SHA512 (hashAlgorithm="SHA512").
הhash ברוב נפלאותיו מייצר טקסט ענק מכל פיסת מידע הכי קטנה, והטקסט הזה שונה לחלוטין על כל שינוי הכי קטן בפיסה המקורית.
הhash פותר את שני הבעיות:
א. הוא ארוך בהרבה מהסיסמה הרגילה
ב. כל שינוי בסיסמה יוצר hash שונה לחלוטין כך שמקוריות הכי קטנה של המשתמש מתורגמת לאקראיות רחבה יותר.למי שמנסה לנחש סיסמה כל זה לא משנה כלום. הוא פשוט מנסה לנחש את הסיסמה הקצרה של המשתמש, ואח"כ מעביר את זה את הערבול המתאים ושלום. אבל למי שמנסה לנחש את התוכן מתוך ההצפנה, האורכים האלה הופכים את זה לבתי אפשרי.
פעולת הניחוש
בא נדבר כעת על מי שמנסה לנחש סיסמה. הניחוש נשען על כך שהמשתמשים ברובם בוחרים סיסמאות קלות להחריד כמו 123456 או במקרה המחמיר Abc123. כעת רק צריך לנחש סיסמה אחרי סיסמה (ולעביר אותה ערבול כזכור) עד שמגיעים לסיסמה ה"מקורית" המתאימה.
אז אנו רוצים לגרום למי שמנסה לנחש שלא יהיה לו קל. גם ככה קצת קשה לו, כי לנסות כל פעם סיסמה ולהעביר אותה ערבול זה סרבול (ערבול = סרבול :)).
אז כדי להקשות עליו עוד יותר אנחנו קובעים שלא די בערבול בודד. יש לערבל את הסיסמה פעם אחת, ואת מה שיוצא מהערבול לערבל, ואת מה שיוצא מזה לערבל שוב, וכן הלאה 100 אלף פעמים... (זה ה זה לקוח משאבי עיבוד קטנים לפעם אחת, אבל מי שמנחש לא מספיק לו פעם אחת.Rainbow
פה באה ההתקפה של rainbow table שזה משהו מאוד פשוט. מכינים טבלה ובמקום לאסוף בה רק את הסיסמאות הנפוצות, שומרים לצד כל סיסמה את הערבול שלה. ערבול בודד, ערבול מאה אלף פעמים וכו' לפי השיטות הרווחות בשוק. ככה כשבאים לנחש אין צורך לעבור את הערבול על כל ניחוש, מנסים ישר עם הערכים המקושקשים הללו.
מלח...
בשביל זה צריך שהערבול יהיה ספציפי כמה שיותר לכל מקרה, במילים אחרות שכל מקרה יצטרך טבלה משלו ואז החזרנו את התוקף המנחש לקושי המקורי (כי להכין את הטבלה פעם ראשונה זה לוקח זמן באותה מידה כמו לנחש ישירות).
לכן, לפני כל הערבולים, התוכנה המצפינה מוסיפה "מלח" (salt) לסיסמה. אם הסיסמה היא Abc123 התוכנה מוסיפה לזה טקסט, ורק אז מערבלת. ה"מלח" הזה לא סודי, כי אחרת לא יכולו גם לפתוח את ההצפנה בהינתן הסיסמה, התוקף יודע את הטקסט אבל זה מונע ממנו להשתמש בטבלה מוכנה שהתאימה לסיסמאות ללא מלח או עם מלח אחר.
גם אם התוכנה תוסיף קבוע את אותו טקסט לסיסמה, עדיין זה יגביל את הפורץ מאוד כי הוא יצטרך טבלאות ספציפיות לתוכנה הספצפית. אולם במקרה של אופיס המלח הוא אקראי, כך ששום טבלה מוכנת לא תעזור. במקרה שלנו המלח הואsaltValue="MJXPjFaEW7owXFz2jgRHZg==".
