KLB Klaagbaak
Klaag maar raak voor een knaak.
Bijna iedere webdeveloepr weet wel dat MD5 wachtwoorden over het algemeen redelijk makkelijk te kraken zijn dankzij gigantische databases die zo ongeveer alle wachtwoorden van 1-9 tekens met lowerUPPER1234567890!@#$%^ bevatten.
Toch blijkt nu dat een van de grootste, al dan niet de grootste, online community van Nederland nog steeds simpelweg normale MD5 encryptie gebruikt.
Hoe lui en onwetend zijn de dev's van fok dan dat ze nog steeds md5() gebruiken ipv bijvoorbeeld een dubbele md5 ( md5(md5($pass)) ) of een salt ( md5($pass.$salt) )
Op zo'n manier kan je er gewoon op wachten dat een van de crew wachtwoorden wordt gekraakt en daarnaast worden alle FOK! users nu ook lekker gescrewed als blijkt dat de cracker een complete kopie heeft gemaakt van iedereens email adres + wachtwoord.
Way to go
Toch blijkt nu dat een van de grootste, al dan niet de grootste, online community van Nederland nog steeds simpelweg normale MD5 encryptie gebruikt.
Hoe lui en onwetend zijn de dev's van fok dan dat ze nog steeds md5() gebruiken ipv bijvoorbeeld een dubbele md5 ( md5(md5($pass)) ) of een salt ( md5($pass.$salt) )
Op zo'n manier kan je er gewoon op wachten dat een van de crew wachtwoorden wordt gekraakt en daarnaast worden alle FOK! users nu ook lekker gescrewed als blijkt dat de cracker een complete kopie heeft gemaakt van iedereens email adres + wachtwoord.
Way to go
Op woensdag 23 juni 2010 22:44 schreef Chuck_Norris het volgende:
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Kwaliteitstopic om 6 voor half 1. Zal wel dinsdag zijn 
Ik pak een CD, zet de radio aan, geniet van honkietonkiemuziek.
EN NOU IS HET AFGELOPEN!
Op woensdag 22 december 2010 01:17 schreef MYV het volgende:
TS, mag ik jou moffenhoertje zijn?
TS, mag ik jou moffenhoertje zijn?
Al die bebrilde pubers met zomervakantie die het beter denken te weten.
Ik typ straat.
Mijn fashion blog: http://ludosfashionblog.wordpress.com/
Mijn fashion blog: http://ludosfashionblog.wordpress.com/
Half 1.. Zal ik nog wat noodles naar binnen werken?quote:Op dinsdag 25 augustus 2009 00:26 schreef Dropdown het volgende:
Kwaliteitstopic om 6 voor half 1. Zal wel dinsdag zijn
More oneness, less categories
Open hearts, no strategies
Decisions based upon faith and not fear
People who live right now and right here
Open hearts, no strategies
Decisions based upon faith and not fear
People who live right now and right here
Samenvatting: shit happensquote:Op dinsdag 25 augustus 2009 00:24 schreef Japsnars het volgende:
Bijna iedere webdeveloepr weet wel dat MD5 wachtwoorden over het algemeen redelijk makkelijk te kraken zijn dankzij gigantische databases die zo ongeveer alle wachtwoorden van 1-9 tekens met lowerUPPER1234567890!@#$%^ bevatten.
Toch blijkt nu dat een van de grootste, al dan niet de grootste, online community van Nederland nog steeds simpelweg normale MD5 encryptie gebruikt.
Hoe lui en onwetend zijn de dev's van fok dan dat ze nog steeds md5() gebruiken ipv bijvoorbeeld een dubbele md5 ( md5(md5($pass)) ) of een salt ( md5($pass.$salt) )
Op zo'n manier kan je er gewoon op wachten dat een van de crew wachtwoorden wordt gekraakt en daarnaast worden alle FOK! users nu ook lekker gescrewed als blijkt dat de cracker een complete kopie heeft gemaakt van iedereens email adres + wachtwoord.
Way to go
Er is leven na de lach.
Met een beetje programmeer kennis kan je goud geld verdienenquote:
Op woensdag 23 juni 2010 22:44 schreef Chuck_Norris het volgende:
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
De bril moet nog komenquote:Op dinsdag 25 augustus 2009 00:30 schreef LudoSanders het volgende:
Al die bebrilde pubers met zomervakantie die het beter denken te weten.
Op woensdag 23 juni 2010 22:44 schreef Chuck_Norris het volgende:
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Een uurtje geleden had je een punt gehad, maar nu had je beter alles in de verleden tijd kunnen schrijven. Beetje een mosterd-na-de-maaltijd-topic.
[ Bericht 33% gewijzigd door #ANONIEM op 25-08-2009 00:32:54 ]
[ Bericht 33% gewijzigd door #ANONIEM op 25-08-2009 00:32:54 ]
ik snap het allemaal niet, maar ik ben dan ook geen nurd
That moment is a crossroads where everything you want will collide with everything standing in your way.
Ja als gold harvester in WoW ja!quote:Op dinsdag 25 augustus 2009 00:31 schreef Japsnars het volgende:
[..]
Met een beetje programmeer kennis kan je goud geld verdienen
______________________________________
Hier tekenen:
.......................De_Kardinaal......................
______________________________________
Hier tekenen:
.......................De_Kardinaal......................
______________________________________
Je bent te laat TS, met deze reactie.
Te laat.
Te laat.
Want ik ben verzekerd, dat noch dood noch leven, noch engelen noch machten, noch heden noch toekomst, noch krachten, noch hoogte noch diepte, noch iets anders mij zal kunnen scheiden van de liefde van God.
Te laatquote:
Ga met Iteejer samen om de tafel zou ik zeggen voor een diep gesprek
Er mogen aardige lekken ontdekt worden, wil je kunnen ontcijferen wat we nu hebben.
eee7a201261dfdad9fdfe74277d27e68890cf0a220f41425870f2ca26e0521b0
hoe zit dat met dat salt verhaal...
salt moet iets bekends zijn anders kan je namelijk nooit de hash vergelijken.. (lijkt mij?)
salt moet iets bekends zijn anders kan je namelijk nooit de hash vergelijken.. (lijkt mij?)
MD5, nu nog? Jezus dat kan echt niet meer nee.
Ik heb geen idee waar het over gaat.
Ik heb geen idee waar het over gaat.
Op maandag 5 september 2016 23:16 schreef -Deluzion- het volgende:
En ik antwoord liever niet op Fascination. aka Alex Vause.
En ik antwoord liever niet op Fascination. aka Alex Vause.
Eens, iets met zout ofzo?quote:Op dinsdag 25 augustus 2009 00:39 schreef Fascination het volgende:
MD5, nu nog? Jezus dat kan echt niet meer nee.
Ik heb geen idee waar het over gaat.
That moment is a crossroads where everything you want will collide with everything standing in your way.
Een uurtje geleden had ik nog geen idee dat Fok! slechts een standaard MD5 encryptie gebruiktequote:Op dinsdag 25 augustus 2009 00:32 schreef Igen het volgende:
Een uurtje geleden had je een punt gehad, maar nu had je beter alles in de verleden tijd kunnen schrijven. Beetje een mosterd-na-de-maaltijd-topic.
Dus meer een nabeschouwing topic inderdaad
Op woensdag 23 juni 2010 22:44 schreef Chuck_Norris het volgende:
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Dit account is overgenomen door Peter Havenaar die in de Van ’t Hoffstraat kaasspeciaalzaak Weydeland leidt.
MD5 is een hashing algoritme:quote:Op dinsdag 25 augustus 2009 00:39 schreef Fascination het volgende:
MD5, nu nog? Jezus dat kan echt niet meer nee.
Ik heb geen idee waar het over gaat.
Fok!Forum wordt: bd0b6a8703c90e4471aa39367158aca8
vroeger (ergens 5 jaar geleden ofzo?) werd het nog gebruikt om wachtwoorden "veilig" op te slaan (anders kan jan met de pet je wachtwoord lezen
Vergelijk het maar met het rondlopen in kleren die in 1999 mode waren.quote:Op dinsdag 25 augustus 2009 00:39 schreef Fascination het volgende:
MD5, nu nog? Jezus dat kan echt niet meer nee.
Ik heb geen idee waar het over gaat.
Want ik ben verzekerd, dat noch dood noch leven, noch engelen noch machten, noch heden noch toekomst, noch krachten, noch hoogte noch diepte, noch iets anders mij zal kunnen scheiden van de liefde van God.
spammertquote:Op dinsdag 25 augustus 2009 00:41 schreef dWc_RuffRyder het volgende:
Dit account is overgenomen door Peter Havenaar die in de Van ’t Hoffstraat kaasspeciaalzaak Weydeland leidt.
[ afbeelding ]
dacht, herhaal het even, er lopen wat hardlerende fokkers rond @ Fok!quote:Op dinsdag 25 augustus 2009 00:41 schreef Core2 het volgende:
Goh echt gast? Dat dit nog niet eerder genoemd is in de talloze topics en op de fp over de hack!
In jip-en-janneketaal:quote:Op dinsdag 25 augustus 2009 00:39 schreef Fascination het volgende:
MD5, nu nog? Jezus dat kan echt niet meer nee.
Ik heb geen idee waar het over gaat.
Een wachtwoord met MD5 opslaan is zo veilig als je fiets in Amsterdam met zo'n slot vastmaken:
Klopt, als een user aanmeld of zijn password veranderd; genereer je een random salt. Bijvoorbeeld: '7%4Ks' deze sla je vervolgens ook gewoon op in de database, dit kan in een nieuwe tabel maar ook gewoon in de password tabel. Vervolgens fetch je de salt bij het inloggen en controleer je alles.quote:Op dinsdag 25 augustus 2009 00:38 schreef mschol het volgende:
hoe zit dat met dat salt verhaal...
salt moet iets bekends zijn anders kan je namelijk nooit de hash vergelijken.. (lijkt mij?)
Het grote nadeel van salts is dus wel dat je steeds de salt moet fetchen wat toch weer extra DB-load kost.
Op woensdag 23 juni 2010 22:44 schreef Chuck_Norris het volgende:
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Voor de nuance mag je dit lezen: http://foknl.wordpress.com/2009/08/24/ongezouten-toegang/quote:
Bijna iedere webdeveloepr weet wel dat MD5 wachtwoorden over het algemeen redelijk makkelijk te kraken zijn dankzij gigantische databases die zo ongeveer alle wachtwoorden van 1-9 tekens met lowerUPPER1234567890!@#$%^ bevatten.
Toch blijkt nu dat een van de grootste, al dan niet de grootste, online community van Nederland nog steeds simpelweg normale MD5 encryptie gebruikt.
Hoe lui en onwetend zijn de dev's van fok dan dat ze nog steeds md5() gebruiken ipv bijvoorbeeld een dubbele md5 ( md5(md5($pass)) ) of een salt ( md5($pass.$salt) )
Op zo'n manier kan je er gewoon op wachten dat een van de crew wachtwoorden wordt gekraakt en daarnaast worden alle FOK! users nu ook lekker gescrewed als blijkt dat de cracker een complete kopie heeft gemaakt van iedereens email adres + wachtwoord.
Way to go
I am a leaf on the wind.
Watch how I soar.
Watch how I soar.
Maar MD5 is dus niet echt topkwaliteit hasj?
Ik typ straat.
Mijn fashion blog: http://ludosfashionblog.wordpress.com/
Mijn fashion blog: http://ludosfashionblog.wordpress.com/
1. Ik lees de FP nietquote:Op dinsdag 25 augustus 2009 00:41 schreef Core2 het volgende:
Goh echt gast? Dat dit nog niet eerder genoemd is in de talloze topics en op de fp over de hack!
2. Ik heb in KLB nog niks teruggezien over MD5 dus vandaar
3. Ik verveel me
Op woensdag 23 juni 2010 22:44 schreef Chuck_Norris het volgende:
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
had je er niet ook wat peper bij willen hebben dan?quote:Op dinsdag 25 augustus 2009 00:45 schreef Breuls het volgende:
Nee, we hebben nu echt de ultrabeste stuff geregeld.
Nee blijkbaar is het gewoon hasj die twaalf jaar gedroogd is in de zuiderzee.quote:
Maar MD5 is dus niet echt topkwaliteit hasj?
______________________________________
Hier tekenen:
.......................De_Kardinaal......................
______________________________________
Hier tekenen:
.......................De_Kardinaal......................
______________________________________
Misschien kan er ook nog even een topic over worden geopend in ONZ en SEX en misschien zelfs KPD.
17 mei 2009: Bekerfinale: s.c. Heerenveen - FC Twente 2-2 (5-4)
Oh we zijn goed gekruid hoor.quote:
[..]
had je er niet ook wat peper bij willen hebben dan?
I am a leaf on the wind.
Watch how I soar.
Watch how I soar.
Maar als iemand in de database kan komen, kan hij toch ook de salt opvragenquote:
[..]
Klopt, als een user aanmeld of zijn password veranderd; genereer je een random salt. Bijvoorbeeld: '7%4Ks' deze sla je vervolgens ook gewoon op in de database, dit kan in een nieuwe tabel maar ook gewoon in de password tabel. Vervolgens fetch je de salt bij het inloggen en controleer je alles.
Het grote nadeel van salts is dus wel dat je steeds de salt moet fetchen wat toch weer extra DB-load kost.
?
Het smaakte de laatste tijd anders knap lafjes!quote:
______________________________________
Hier tekenen:
.......................De_Kardinaal......................
______________________________________
Hier tekenen:
.......................De_Kardinaal......................
______________________________________
Top! Best snel geregeld.quote:Op dinsdag 25 augustus 2009 00:44 schreef Breuls het volgende:
[..]
Voor de nuance mag je dit lezen: http://foknl.wordpress.com/2009/08/24/ongezouten-toegang/
Top, ga het nu even lezen.quote:Op dinsdag 25 augustus 2009 00:44 schreef Breuls het volgende:
[..]
Voor de nuance mag je dit lezen: http://foknl.wordpress.com/2009/08/24/ongezouten-toegang/
Goed geregeld
Op woensdag 23 juni 2010 22:44 schreef Chuck_Norris het volgende:
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
True, maar dan kom je weer terecht bij het kraak proces.quote:Op dinsdag 25 augustus 2009 00:51 schreef CaptainCookie het volgende:
[..]
Maar als iemand in de database kan komen, kan hij toch ook de salt opvragen
Je kan ofwel een password brute-forcen (Je genereert random wachtwoorden en vergelijkt de gecodeerde hash hiervan met de hash die je uit de database hebt geplukt)
Of je kan een password vergelijken tegenover een al bestaande database die passwords en de bijbehorende salts bevat. Meestal worden hiervoor rainbow tables gebruikt.
Deze rainbow tables bevatten slechts hashes in de standaard encryptie vorm en dus niet de encryptie vorm met salt. Hierdoor kan je de gejatte password hash niet meer afsteken tegenover zo'n soort database.
De enige overgebleven manier blijft brute-forcen, dit kost vaak enorm veel tijd en omdat iedere gebruiker een random salt krijgt; kan de hacker ook maar 1 wachtwoord met 1 salt tegelijk brute-forcen
Op woensdag 23 juni 2010 22:44 schreef Chuck_Norris het volgende:
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
ALLE PASSWORDS WORDEN GERESET!
Voor de luiaards onder ons:
TS faalt
EDIT: En hier verder over password reset dan... Wachtwoord reset vraagje(s)
Voor de luiaards onder ons:
Topic van TS was van vandaag 00:25 uur. Topic van Danny is van gisteren 23:19 uur...quote:Op maandag 24 augustus 2009 23:19 schreef Danny het volgende:
Beste FOK!ker,
zoals jullie weten zijn we afgelopen zaterdag aangevallen door een hacker die in md5 gehashte vorm opgeslagen passwords heeft ontfutseld. MD5 is in haar standaard vorm tegenwoordig relatief eenvoudig te kraken en dus moest daar een betere oplossing voor komen. Die is er en die zal op zeer korte termijn (vanavond nog) worden doorgevoerd.
Om te voorkomen dat de hacker zich alsnog met de buitgemaakte passwords toegang kan verschaffen tot accounts van gebruikers zullen we ook alle passwords resetten. Dit houdt in dat je zodra je uitlogt pas weer kunt inloggen als je de passmailer gebruikt en op die manier een nieuw wachtwoord hebt gekregen. Die kun je dan weer veranderen via de profielinstellingen. Tussentijds je wachtwoord veranderen kan niet omdat het zonder ingesteld password onmogelijk is in te loggen.
We raden iedereen aan zo snel mogelijk uit te loggen en na verificatie dat inloggen inderdaad niet meer mogelijk is de passmailer te gebruiken. We begrijpen dat dit een lastige procedure is, maar in dit geval kiezen we voor volledige veiligheid.
Mochten er toch problemen zijn, stuur dan even een mail naar forum@fok.nl. We zullen er dan zo snel mogelijk naar kijken.
We rekenen op jullie begrip voor deze situatie.
De Crew
TS faalt
EDIT: En hier verder over password reset dan... Wachtwoord reset vraagje(s)
Never regret anything, beacuse one time it was exaclty what you wanted.
Op donderdag 29 mei 2014 01:52 schreef Tamashii het volgende:
Aan Ado vraagt iedereen toestemmming
Op donderdag 29 mei 2014 01:52 schreef Tamashii het volgende:
Aan Ado vraagt iedereen toestemmming
Ik lees niet ieder uur de mededelingen? Jij wel danquote:Op dinsdag 25 augustus 2009 00:58 schreef Adolecens het volgende:
ALLE PASSWORDS WORDEN GERESET!
Voor de luiaards onder ons:
[..]
Topic van TS was van vandaag 00:25 uur. Topic van Danny is van gisteren 23:19 uur...
TS faalt
EDIT: En hier verder over password reset dan... Wachtwoord reset vraagje(s)
Als jij iedere 5 minuten de aankondigingen refreshed, dan faal jij toch echt harder
Op woensdag 23 juni 2010 22:44 schreef Chuck_Norris het volgende:
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Als ik FOK! open in een browser kom ik gewoon in de index terecht en daar staat het bovenaan. Dus ja, het was het eerste wat ik las. Faal ik dan?quote:
[..]
Ik lees niet ieder uur de mededelingen? Jij wel dan
Als jij iedere 5 minuten de aankondigingen refreshed, dan faal jij toch echt harder
Never regret anything, beacuse one time it was exaclty what you wanted.
Op donderdag 29 mei 2014 01:52 schreef Tamashii het volgende:
Aan Ado vraagt iedereen toestemmming
Op donderdag 29 mei 2014 01:52 schreef Tamashii het volgende:
Aan Ado vraagt iedereen toestemmming
Maar jij begrijpt niet dat sommige mensen, waaronder ik dus, nog een forum pagina openhebben staan in hun browser en vervolgens gewoon af en toe op MyAT klikken ipv op index?quote:Op dinsdag 25 augustus 2009 01:03 schreef Adolecens het volgende:
[..]
Als ik FOK! open in een browser kom ik gewoon in de index terecht en daar staat het bovenaan. Dus ja, het was het eerste wat ik las. Faal ik dan?
Op woensdag 23 juni 2010 22:44 schreef Chuck_Norris het volgende:
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Ah, natuurlijk. Dat had ik zelf moeten bedenkenquote:
[..]
True, maar dan kom je weer terecht bij het kraak proces.
Je kan ofwel een password brute-forcen (Je genereert random wachtwoorden en vergelijkt de gecodeerde hash hiervan met de hash die je uit de database hebt geplukt)
Of je kan een password vergelijken tegenover een al bestaande database die passwords en de bijbehorende salts bevat. Meestal worden hiervoor rainbow tables gebruikt.
Deze rainbow tables bevatten slechts hashes in de standaard encryptie vorm en dus niet de encryptie vorm met salt. Hierdoor kan je de gejatte password hash niet meer afsteken tegenover zo'n soort database.
De enige overgebleven manier blijft brute-forcen, dit kost vaak enorm veel tijd en omdat iedere gebruiker een random salt krijgt; kan de hacker ook maar 1 wachtwoord met 1 salt tegelijk brute-forcen
Ja, de een ziet zo'n mededeling wel, de ander niet. Ga elkaar daar nou niet op lopen aanvallen, ieder zijn meug en dus zijn browsemethoden.
I am a leaf on the wind.
Watch how I soar.
Watch how I soar.
|
|
