Neler yeni

MD5 Bir zaman sonra bozulucak mı ? | Login Sayfası (1 Viewer)

Mesajlar
1,239
Credits
194
MD5 'i biliyorsunuzdur
"MD5, yaygın olarak kullanılan bir kriptografik özet fonksiyonudur "
yani girilen veriyi şifreler.
MD5 dünya genelinde çok yaygın kullanılır.
Örnek bir login sayfasında olay şu şekilde işler

Giriş yapacağımız site MD5 kullanıyorsa olay şu şekilde işler
Kullanıcı adı : lqm33
Şifre: 123lqm123
diye girdiğimizi varsayalım.
##################################
Submit butonu yani giriş yap butonuna bastığımız an olacaklar şu şekildedir.
kullanıcı adı veri tabanında sorgulanır eğer varsa şifre kısmına geçer.(farklı siteler de böyle olmayabilir ama mantık aynı işler)
şifre: siz hesap oluştururken güvenlik amacıyla girdiğiniz şifre MD5'e dönüştürülerek saklanır.
##########################################################################
Şifreyi tekrar kontral etmek için
şifre --> 123lqm123 -->> MD5'e dönüşür ve veri tabanında öyle kontrol edilir.
yani MD5 ' e dönüşmüş şifre = veritabanında ki sizin MD5 şifreniz ise sistem sizi içeri alır.
#########################################################################
Yani şifreleriniz Hashlenmiş (şifrelenmiş) olarak saklanıyorsa veri tabanına erişen bir çok insanın sizin şifrenizi bulması pek mümkün olmayacaktır.
SQL injection zafiyetini sömürdüğünüz de admin userının şifresini çoğu zaman hashlenmiş olarak görürsünüz. Bu da güzel bir güvenlik önlemidir.
Kendi forumumuzdan örnek vereyim.
@Mectruy veri tabanına erişebiliyordur fakat şifrelerimizi görmesi pek olası değil çünkü şifreler hashli olarak saklanır , yani siz şifremi unuttum abi şifremi ver derseniz yapabiliceği tek şey şifrenizi yenilemek olur
çünkü veri tabanında şifreniz hashli olarak saklanır, şifre yenileme mantığı da şöyle işler sizin hashli şifreniz yerine yeni hashli şifre konulur. Sitelerden config çekip kendi şifrelerini koyan arkadaşlar bunu iyi bilir :)
Hatta @Fabriel ' in şifresi bir efsaneye göre veri tabanında gözükmemektedir :kehkeh:

Yani bir x sitesi siz şifremi unuttum diyince mailinize direk şifrenizi gönderiyorsa o site pek güvenlikli bir site değildir. Asıl güvenlikli olan şifre yenileme bağlantısı gönderendir.
Şimdi gelelim ana konuya
MD5 Bir zaman sonra bozulucak mı ?
Derken neyi kastettim hemen açıklıyorum;
Tekrardan login sayfası örneğine bakalım.
#####################
Kullanıcı adı : lqm33
Şifre: 123lqm123
####################
Siz bir siteye girdiniz
aynı bu şekilde
hemen noldu veri tabanına kontrole gitti sonra eşitse sizi içeri aldı.
AMA
farklı bir şey girseydiniz şifreye
çok çok çok çok çok ufak gerçekten çok ufak bir ihtimal yok denecek kadar az !
ihtimalle
sizi içeri alabilirdi . Peki bu nasıl olurdu ?
MD5 girilen şeyin kaç basamağı olursa olsun
onu alıp 128 bit'e çeviriyor.
a girerseniz bunu da alır 128 bit yapar
qwetwetqwet girseniz bunu da alır 128 bit yapar
burda da şu sorun ortaya çıkıyor.
Bazen aşırı aşırı aşırı düşük (2 üzeri 128) ihtimalle
şifreyi yanlış girseniz bile sizin veri tabanında ki şifre ile tutuşuacaktır ve içeri alacaktır fakat bu aşırı düşük ihtimal.
yani yok denecek kadar az ama siz yine de bilin.
Zaten bir hash'in türünün kaliteli olup olmadığını bu hata payını en az yapması belirler.

Ayrıca okuyun ;
 
Son düzenleme:
Mesajlar
1,239
Credits
194
Mesajlar
1,239
Credits
194
stack overflow hatası almamak için şifrenin belli bir karakteri siliniyor sonran eksikse de tamamlanıyor o bit sayısına bildiğim akdarıyla. Eğer işlendikten sonra tutarsa login olabilir. Ayrıca md5 matematikteki çift fonksiyon gibidir. Tersi alınamaz f(a)=f(b) = lqm33 olabilir.

Davet ediyorum: https://imhatimi.org/forum/threads/programlamada-matematikte-tek-fonksiyonlar.662/
konuya baktım gerçekten müthişti hatta konuya ekleyeceğim sağ ol :D
 
Mesajlar
516
Credits
1,615
MD5 'i biliyorsunuzdur
"MD5, yaygın olarak kullanılan bir kriptografik özet fonksiyonudur "
yani girilen veriyi şifreler.
MD5 dünya genelinde çok yaygın kullanılır.
Örnek bir login sayfasında olay şu şekilde işler

Giriş yapacağımız site MD5 kullanıyorsa olay şu şekilde işler
Kullanıcı adı : lqm33
Şifre: 123lqm123
diye girdiğimizi varsayalım.
##################################
Submit butonu yani giriş yap butonuna bastığımız an olacaklar şu şekildedir.
kullanıcı adı veri tabanında sorgulanır eğer varsa şifre kısmına geçer.(farklı siteler de böyle olmayabilir ama mantık aynı işler)
şifre: siz hesap oluştururken güvenlik amacıyla girdiğiniz şifre MD5'e dönüştürülerek saklanır.
##########################################################################
Şifreyi tekrar kontral etmek için
şifre --> 123lqm123 -->> MD5'e dönüşür ve veri tabanında öyle kontrol edilir.
yani MD5 ' e dönüşmüş şifre = veritabanında ki sizin MD5 şifreniz ise sistem sizi içeri alır.
#########################################################################
Yani şifreleriniz Hashlenmiş (şifrelenmiş) olarak saklanıyorsa veri tabanına erişen bir çok insanın sizin şifrenizi bulması pek mümkün olmayacaktır.
SQL injection zafiyetini sömürdüğünüz de admin userının şifresini çoğu zaman hashlenmiş olarak görürsünüz. Bu da güzel bir güvenlik önlemidir.
Kendi forumumuzdan örnek vereyim.
@Mectruy veri tabanına erişebiliyordur fakat şifrelerimizi görmesi pek olası değil çünkü şifreler hashli olarak saklanır , yani siz şifremi unuttum abi şifremi ver derseniz yapabiliceği tek şey şifrenizi yenilemek olur
çünkü veri tabanında şifreniz hashli olarak saklanır, şifre yenileme mantığı da şöyle işler sizin hashli şifreniz yerine yeni hashli şifre konulur. Sitelerden config çekip kendi şifrelerini koyan arkadaşlar bunu iyi bilir :)
Hatta @Fabriel ' in şifresi bir efsaneye göre veri tabanında gözükmemektedir :kehkeh:

Yani bir x sitesi siz şifremi unuttum diyince mailinize direk şifrenizi gönderiyorsa o site pek güvenlikli bir site değildir. Asıl güvenlikli olan şifre yenileme bağlantısı gönderendir.
Şimdi gelelim ana konuya
MD5 Bir zaman sonra bozulucak mı ?
Derken neyi kastettim hemen açıklıyorum;
Tekrardan login sayfası örneğine bakalım.
#####################
Kullanıcı adı : lqm33
Şifre: 123lqm123
####################
Siz bir siteye girdiniz
aynı bu şekilde
hemen noldu veri tabanına kontrole gitti sonra eşitse sizi içeri aldı.
AMA
farklı bir şey girseydiniz şifreye
çok çok çok çok çok ufak gerçekten çok ufak bir ihtimal yok denecek kadar az !
ihtimalle
sizi içeri alabilirdi . Peki bu nasıl olurdu ?
MD5 girilen şeyin kaç basamağı olursa olsun
onu alıp 128 bit'e çeviriyor.
a girerseniz bunu da alır 128 bit yapar
qwetwetqwet girseniz bunu da alır 128 bit yapar
burda da şu sorun ortaya çıkıyor.
Bazen aşırı aşırı aşırı düşük (2 üzeri 128) ihtimalle
şifreyi yanlış girseniz bile sizin veri tabanında ki şifre ile tutuşuacaktır ve içeri alacaktır fakat bu aşırı düşük ihtimal.
yani yok denecek kadar az ama siz yine de bilin.
Zaten bir hash'in türünün kaliteli olup olmadığını bu hata payını en az yapması belirler.

Ayrıca okuyun ;
biraz geç olsada baya açıklayıcı olmuş cidden eline emeğine sağlık
 

Tron 

Pentester & Reverse Engineer
Legendary
Mesajlar
1,977
Credits
142,202
MD5 'i biliyorsunuzdur
"MD5, yaygın olarak kullanılan bir kriptografik özet fonksiyonudur "
yani girilen veriyi şifreler.
MD5 dünya genelinde çok yaygın kullanılır.
Örnek bir login sayfasında olay şu şekilde işler

Giriş yapacağımız site MD5 kullanıyorsa olay şu şekilde işler
Kullanıcı adı : lqm33
Şifre: 123lqm123
diye girdiğimizi varsayalım.
##################################
Submit butonu yani giriş yap butonuna bastığımız an olacaklar şu şekildedir.
kullanıcı adı veri tabanında sorgulanır eğer varsa şifre kısmına geçer.(farklı siteler de böyle olmayabilir ama mantık aynı işler)
şifre: siz hesap oluştururken güvenlik amacıyla girdiğiniz şifre MD5'e dönüştürülerek saklanır.
##########################################################################
Şifreyi tekrar kontral etmek için
şifre --> 123lqm123 -->> MD5'e dönüşür ve veri tabanında öyle kontrol edilir.
yani MD5 ' e dönüşmüş şifre = veritabanında ki sizin MD5 şifreniz ise sistem sizi içeri alır.
#########################################################################
Yani şifreleriniz Hashlenmiş (şifrelenmiş) olarak saklanıyorsa veri tabanına erişen bir çok insanın sizin şifrenizi bulması pek mümkün olmayacaktır.
SQL injection zafiyetini sömürdüğünüz de admin userının şifresini çoğu zaman hashlenmiş olarak görürsünüz. Bu da güzel bir güvenlik önlemidir.
Kendi forumumuzdan örnek vereyim.
@Mectruy veri tabanına erişebiliyordur fakat şifrelerimizi görmesi pek olası değil çünkü şifreler hashli olarak saklanır , yani siz şifremi unuttum abi şifremi ver derseniz yapabiliceği tek şey şifrenizi yenilemek olur
çünkü veri tabanında şifreniz hashli olarak saklanır, şifre yenileme mantığı da şöyle işler sizin hashli şifreniz yerine yeni hashli şifre konulur. Sitelerden config çekip kendi şifrelerini koyan arkadaşlar bunu iyi bilir :)
Hatta @Fabriel ' in şifresi bir efsaneye göre veri tabanında gözükmemektedir :kehkeh:

Yani bir x sitesi siz şifremi unuttum diyince mailinize direk şifrenizi gönderiyorsa o site pek güvenlikli bir site değildir. Asıl güvenlikli olan şifre yenileme bağlantısı gönderendir.
Şimdi gelelim ana konuya
MD5 Bir zaman sonra bozulucak mı ?
Derken neyi kastettim hemen açıklıyorum;
Tekrardan login sayfası örneğine bakalım.
#####################
Kullanıcı adı : lqm33
Şifre: 123lqm123
####################
Siz bir siteye girdiniz
aynı bu şekilde
hemen noldu veri tabanına kontrole gitti sonra eşitse sizi içeri aldı.
AMA
farklı bir şey girseydiniz şifreye
çok çok çok çok çok ufak gerçekten çok ufak bir ihtimal yok denecek kadar az !
ihtimalle
sizi içeri alabilirdi . Peki bu nasıl olurdu ?
MD5 girilen şeyin kaç basamağı olursa olsun
onu alıp 128 bit'e çeviriyor.
a girerseniz bunu da alır 128 bit yapar
qwetwetqwet girseniz bunu da alır 128 bit yapar
burda da şu sorun ortaya çıkıyor.
Bazen aşırı aşırı aşırı düşük (2 üzeri 128) ihtimalle
şifreyi yanlış girseniz bile sizin veri tabanında ki şifre ile tutuşuacaktır ve içeri alacaktır fakat bu aşırı düşük ihtimal.
yani yok denecek kadar az ama siz yine de bilin.
Zaten bir hash'in türünün kaliteli olup olmadığını bu hata payını en az yapması belirler.

Ayrıca okuyun ;

Eline saglik
 

Bu konuyu görüntüleyen kullanıcılar