WGR Werk, Geldzaken, Recht en de Beurs
Hier kun je alles kwijt over sollicitaties, werksituaties, belastingen, (handelen op) de beurs, hypotheken, beleggingen en salarissen, arbeidscontracten of geschillen met je (huis)baas. Alles over werk, geldzaken en recht dus.
De timeline staat nog niet zo vast, als ik me niet vergis. Ze kunnen er ook een maand over gedaan hebben. Maar van korte/simpele wachtwoorden zijn al hashwaarden bekend. Het kan ook zijn dat ze een hack hadden die direct toegang tot een account gaf.quote:Op zondag 19 juni 2011 23:55 schreef GuitarJJ het volgende:
Maar iemand kan toch niet zó snel de hashes gekraakt hebben?
Ik in een aantal worden omschreven: Ondernemend | Moedig | Stout | Lief | Positief | Intuïtief | Communicatief | Humor | Creatief | Spontaan | Open | Sociaal | Vrolijk | Organisator | Pro-actief | Meedenkend | Levensgenieter | Spiritueel
je hebt gelijk. Ik denk dat Google de database .csv ook gescanned heeft en prventief alle Gmail accounds gemarked heeft als "compromised".quote:
[..]
Maar iemand kan toch niet zó snel de hashes gekraakt hebben?
'cos here at Globo Gym, we're better than you! And we know it.
Afhankelijk hoe goed de salt is zal het snel te kraken zijn met een rainbow table.quote:
[..]
Maar iemand kan toch niet zó snel de hashes gekraakt hebben?
Op zondag 8 maart 2009 21:38 schreef Danny het volgende:
fuck de policy. posten die hap!
fuck de policy. posten die hap!
Dat lijkt mij inderdaad het meest logisch.quote:Op zondag 19 juni 2011 23:57 schreef Whuzz het volgende:
[..]
je hebt gelijk. Ik denk dat Google de database .csv ook gescanned heeft en prventief alle Gmail accounds gemarked heeft als "compromised".
Ook dat is een mogelijkheid ja, maar het lijkt me toch sterk dat ze een paar duizend wachtwoorden de-hashen in enkele dagen.quote:Op zondag 19 juni 2011 23:57 schreef eleusis het volgende:
[..]
De timeline staat nog niet zo vast, als ik me niet vergis. Ze kunnen er ook een maand over gedaan hebben. Maar van korte/simpele wachtwoorden zijn al hashwaarden bekend. Het kan ook zijn dat ze een hack hadden die direct toegang tot een account gaf.
'cos here at Globo Gym, we're better than you! And we know it.
Mijn gmail account staat ook in de lijst en is niet gemarked door google.quote:
[..]
je hebt gelijk. Ik denk dat Google de database .csv ook gescanned heeft en prventief alle Gmail accounds gemarked heeft als "compromised".
Op zondag 8 maart 2009 21:38 schreef Danny het volgende:
fuck de policy. posten die hap!
fuck de policy. posten die hap!
http://www.hashbounty.net/bountiesquote:
[..]
Ook dat is een mogelijkheid ja, maar het lijkt me toch sterk dat ze een paar duizend wachtwoorden de-hashen in enkele dagen.
Iedereen met een mining rig is verdacht.quote:
Ook dat is een mogelijkheid ja, maar het lijkt me toch sterk dat ze een paar duizend wachtwoorden de-hashen in enkele dagen.
Als ze de database online hebben gepost, deden ze het in ieder geval ook voor de 'lulz'.
Ik in een aantal worden omschreven: Ondernemend | Moedig | Stout | Lief | Positief | Intuïtief | Communicatief | Humor | Creatief | Spontaan | Open | Sociaal | Vrolijk | Organisator | Pro-actief | Meedenkend | Levensgenieter | Spiritueel
Ik weet niet wat voor hashes het zijn, maar het ziet er zo uit: $1$E1xAsgR1$vPt0d/L3f81Ys3SxJ7rIhquote:
Hangt van de codering die ze gebruiken af. Als ze uberhaupt al de wachtwoorden coderen.
Als het een simpele md5 is dan zijn er van de bekendste / meest voorkomende (wacht)woorden al hashes berekend en is het alleen een kwestie van goede wachtwoord bij de md5-code zoeken en dat is zo klaar.
Opzich een goede zaak dan! Ze zijn dan goed geïnformeerd!quote:
[..]
je hebt gelijk. Ik denk dat Google de database .csv ook gescanned heeft en prventief alle Gmail accounds gemarked heeft als "compromised".
Dat zegt me niksquote:
[..]
Afhankelijk hoe goed de salt is zal het snel te kraken zijn met een rainbow table.
Een hele reeks is er al gekraakt, op IRC kwamen er al een paar 100 paswoordenlangs. Maar dat waren allemaal accounts die makkelijker te kraken waren, want geen salt gebruikt. Schijnt dat google e.d. de lijst van adressen gekregen hebben, wellicht is dat ook een reden dat er meldingen van gmail komen.quote:
Maar iemand kan toch niet zó snel de hashes gekraakt hebben?
Dan ben JIJ dus de hacker!!!111one PAK HEM!!!!!!quote:
[..]
Mijn gmail account staat ook in de lijst en is niet gemarked door google.
'cos here at Globo Gym, we're better than you! And we know it.
MD5. Niet supersterk meer.quote:
Ik weet niet wat voor hashes het zijn, maar het ziet er zo uit: $1$E1xAsgR1$vPt0d/L3f81Ys3SxJ7rIh
Ik in een aantal worden omschreven: Ondernemend | Moedig | Stout | Lief | Positief | Intuïtief | Communicatief | Humor | Creatief | Spontaan | Open | Sociaal | Vrolijk | Organisator | Pro-actief | Meedenkend | Levensgenieter | Spiritueel
Ja, ik kan zo jouw wachtwoord zien. "vLeEsEtEnDviZJaH9"quote:
AMIRITE!?
'cos here at Globo Gym, we're better than you! And we know it.
POSIX crypt() begint een MD5 hash altijd met $1$.quote:
Heel onveilig is dit trouwens ook niet, alleen is het nadeel dat het erg populair is en er precomputed tables van zijn. Dus als je '1234' als password hebt, komt men daar rap achter.
Ik in een aantal worden omschreven: Ondernemend | Moedig | Stout | Lief | Positief | Intuïtief | Communicatief | Humor | Creatief | Spontaan | Open | Sociaal | Vrolijk | Organisator | Pro-actief | Meedenkend | Levensgenieter | Spiritueel
Ik weet niet veel van coderingen, maar dat is zéker geen md5 hoor.quote:
Huh? Mailen ze Google dan even zo van "onze site is gehackt, block deze gmail accounts even"?quote:
[..]
je hebt gelijk. Ik denk dat Google de database .csv ook gescanned heeft en prventief alle Gmail accounds gemarked heeft als "compromised".
We zullen zien, zei de blinde.
Kut!quote:
[..]
Ja, ik kan zo jouw wachtwoord zien. "vLeEsEtEnDviZJaH9"
AMIRITE!?
Ik weet niet of dit MD5 is, het lijkt me niet puur MD5.quote:
MD5 zelf is erg onveilig tegenwoordig, 99% van de mogelijke wachtwoorden met MD5 zijn bekend in lijsten.
Op zondag 8 maart 2009 21:38 schreef Danny het volgende:
fuck de policy. posten die hap!
fuck de policy. posten die hap!
Op IRC zit iemand die beweerd voor Google Abuse gewerkt te hebben en dat inderdaad gedaan te hebben.quote:
Huh? Mailen ze Google dan even zo van "onze site is gehackt, block deze gmail accounts even"?
Da's niet mogelijk. Misschien 99% van de wachtwoorden die uit a-zA-Z0-9 bestaanquote:
[..]
Ik weet niet of dit MD5 is, het lijkt me niet puur MD5.
MD5 zelf is erg onveilig tegenwoordig, 99% van de mogelijke wachtwoorden met MD5 zijn bekend in lijsten.
.
MagicalTux gaat een advocaat inzetten, aangezien een 'rolling back' illegaal is. Ze gaan er dus problemen mee krijgen.
Welk bedrijf op internet dat héél goed is in zoeken zou het miinste moeite hebben om te zoeken op dingen die met google en/of gmail te maken hebben en zo als één van de eersten dát soort informatie met een grote rode blinking trigger gevonden hebben... eens even denken.......quote:
Huh? Mailen ze Google dan even zo van "onze site is gehackt, block deze gmail accounts even"?
'cos here at Globo Gym, we're better than you! And we know it.
Bronnen a.u.b.quote:
MagicalTux gaat een advocaat inzetten, aangezien een 'rolling back' illegaal is. Ze gaan er dus problemen mee krijgen.
Op
MD5 is 128 bits. Het is mogelijk dat 2 wachtwoorden dezelfde MD5 hash hebben.quote:Op maandag 20 juni 2011 00:05 schreef PiRANiA het volgende:
[..]
Da's niet mogelijk. Misschien 99% van de wachtwoorden die uit a-zA-Z0-9 bestaan
Als je van alle MD5 mogelijkheden een match hebt in je lijst dan kun je zelfs met een ander wachtwoord inloggen zolang de hash maar hetzelfde is.
Dit zal echter alleen werken als er geen salt is gebruikt.
Op zondag 8 maart 2009 21:38 schreef Danny het volgende:
fuck de policy. posten die hap!
fuck de policy. posten die hap!
Voorlopig is MtGox nog vergeten dat mijn account ooit bestaan heeft en is er dus tot nader order gewoon met mijn geld (zomg paar euroooo) vandoor 
'cos here at Globo Gym, we're better than you! And we know it.
Alsof ze dan binnen een paar uur doorhebben om welke accounts het gaat zonder dat dat doorgespeeld wordt.quote:
[..]
Welk bedrijf op internet dat héél goed is in zoeken zou het miinste moeite hebben om te zoeken op dingen die met google en/of gmail te maken hebben en zo als één van de eersten dát soort informatie met een grote rode blinking trigger gevonden hebben... eens even denken.......
Maar als alle berichten hier (direct emailaccounts doorgegeven aan Google, advocaat erbij, enz.) kloppen dan zijn ze wel echt goed bezig het op te lossen.
We zullen zien, zei de blinde.
Je weet hoe veel combinaties er mogelijk zijn? 99% is echt zwaar overschat lijkt mij.quote:
[..]
MD5 is 128 bits. Het is mogelijk dat 2 wachtwoorden dezelfde MD5 hash hebben.
Als je van alle MD5 mogelijkheden een match hebt in je lijst dan kun je zelfs met een ander wachtwoord inloggen zolang de hash maar hetzelfde is.
Dit zal echter alleen werken als er geen salt is gebruikt.
Ongeveer 1770 aan het bestand te zien.quote:
Ik las dat er op ongeveer 1600 wachtwoorden uit dat account geen salt was gebruikt.
Een .csv bestand is gewoon scanbaar hoor. Ik denk dat zelfs een webcrawler daar doorheen loopt.quote:
[..]
Alsof ze dan binnen een paar uur doorhebben om welke accounts het gaat zonder dat dat doorgespeeld wordt.
'cos here at Globo Gym, we're better than you! And we know it.
Probeer je in te loggen ofzo ergens?quote:
Voorlopig is MtGox nog vergeten dat mijn account ooit bestaan heeft en is er dus tot nader order gewoon met mijn geld (zomg paar euroooo) vandoor
Maar elke md5 hash bestaat uit 32 karakters van 0-9 en a-f. 16 mogelijkheden dus voor 32 plaatsen.quote:
[..]
MD5 is 128 bits. Het is mogelijk dat 2 wachtwoorden dezelfde MD5 hash hebben.
Als je van alle MD5 mogelijkheden een match hebt in je lijst dan kun je zelfs met een ander wachtwoord inloggen zolang de hash maar hetzelfde is.
Dit zal echter alleen werken als er geen salt is gebruikt.
Totaal dus 32^16 = 1.208.925.819.614.629.174.706.176 mogelijke hashes
Als iedereen op de wereld elke seconde 1 unieke hash 'kraakt' dan heb je na 6,5 miljoen jaar alle hashes gehad...
We zullen zien, zei de blinde.
http://www.freerainbowtables.com/nl/tables/quote:Op maandag 20 juni 2011 00:09 schreef PiRANiA het volgende:
[..]
Je weet hoe veel combinaties er mogelijk zijn? 99% is echt zwaar overschat lijkt mij.
1105GB aan MD5 data.
Op zondag 8 maart 2009 21:38 schreef Danny het volgende:
fuck de policy. posten die hap!
fuck de policy. posten die hap!
Ik wel. Dit is md5. Probeer maar eens uit in php met een salt-waarde die hieraan voldoet: CRYPT_MD5 - MD5 hashing with a twelve character salt starting with $1$quote:
Ik weet niet veel van coderingen, maar dat is zéker geen md5 hoor.
| 1 2 | <?php echo crypt('hey', '$1$eensalt$') ?> $1$eensalt$q1LddaYqjJ6/0RRAvdA0R/ |
MD5 met een salt is nog redelijk veilig, maar het is op zich voor een huis-tuin-en-keukensite wel aanvaardbaar. Ik zelf gebruik het al jaren niet meer op deze manier, maar volgens mij is het op FreeBSD en veel Linux-distro's nog de standaard.
Maar ik acht de kans groot dat ze via een hack niet alleen de database hebben binnengehaald, maar ook naar het account zijn ge'su'd. Nét dat ene account weten te breken met veel BTC: dat moet wel geweldig toeval zijn geweest voor een toch niet zo heel slimme hacker.
Ik in een aantal worden omschreven: Ondernemend | Moedig | Stout | Lief | Positief | Intuïtief | Communicatief | Humor | Creatief | Spontaan | Open | Sociaal | Vrolijk | Organisator | Pro-actief | Meedenkend | Levensgenieter | Spiritueel
Ja dat weet ik, maar hoe moet Google ineens aan die .csv komen als mtgox (en de hackerquote:
[..]
Een .csv bestand is gewoon scanbaar hoor. Ik denk dat zelfs een webcrawler daar doorheen loopt.
) die niet heeft doorgegeven? Dan kun je nog zo goed zijn met zoeken, maar hij moet wel te vinden zijn.
We zullen zien, zei de blinde.
Ah ok, dan kan het meevallen.quote:
[..]
Ja daar draait nu de support op, niet de echte mtgox database.
'cos here at Globo Gym, we're better than you! And we know it.
Om alle hashes op te slaan heb je meer nodig denk ik.quote:
[..]
http://www.freerainbowtables.com/nl/tables/
1105GB aan MD5 data.
Lees even mijn oude posts. Tot nu toe voorspellen die vrij accuraat waar het heen gaatquote:Op maandag 20 juni 2011 00:10 schreef Piet_Piraat het volgende:
Eerst een trojan die wallets ontvreemd, nu weer een gehackte site.
Waar gaat het heen?
Ik ga in elk geval naar mijn bedje heen. Ik zie het morgen allemaal wel weer! Truste allemaal
'cos here at Globo Gym, we're better than you! And we know it.
Dan heb ik niks gezegd, ik wist niet dat je md5 ook kon saltenquote:
[..]
Ik wel. Dit is md5. Probeer maar eens uit in php met een salt-waarde die hieraan voldoet: CRYPT_MD5 - MD5 hashing with a twelve character salt starting with $1$
[ code verwijderd ]
MD5 met een salt is nog redelijk veilig, maar het is op zich voor een huis-tuin-en-keukensite wel aanvaardbaar. Ik zelf gebruik het al jaren niet meer op deze manier, maar volgens mij is het op FreeBSD en veel Linux-distro's nog de standaard.
Maar ik acht de kans groot dat ze via een hack niet alleen de database hebben binnengehaald, maar ook gewoon naar het account zijn ge'su'd.
We zullen zien, zei de blinde.
= 1186484715520 bytes = (als je alleen de hashes zelf opslaat, dus niet het woord wat je hasht) 37077647360 hashes die je op kunt slaan.quote:
[..]
http://www.freerainbowtables.com/nl/tables/
1105GB aan MD5 data.
Dat alleen al is slechts 3,1 * 10^-12 % van alle mogelijke hashes
We zullen zien, zei de blinde.
gewoon wat tekst aan het wachtwoord toevoegen voordat er gehashed wordt.quote:
Wat houdt salt eigenlijk precies in? Uit wikipedia word ik niet veel wijzer.
Aah oke, thanks!quote:
[..]
gewoon wat tekst aan het wachtwoord toevoegen voordat er gehashed wordt.
Het is een tekenreeks die wordt mee-versleuteld náást het wachtwoord. Als je níet salt, zouden twee mensen met wachtwoord 1234, ook beide hetzelfde versleutelde wachtwoord hebben. Door te salten, wordt het vele malen moeilijker om een versleuteld wachtwoord te kraken. Maar het is niet onmogelijk: er zijn grote datasets (rainbow tables) die een deel van het probleem oplossen. En gegeven VEEL computerkracht kan je nog wel wat uitproberen (als het wachtwoord kort/slecht is).quote:
Wat houdt salt eigenlijk precies in? Uit wikipedia word ik niet veel wijzer.
Ik in een aantal worden omschreven: Ondernemend | Moedig | Stout | Lief | Positief | Intuïtief | Communicatief | Humor | Creatief | Spontaan | Open | Sociaal | Vrolijk | Organisator | Pro-actief | Meedenkend | Levensgenieter | Spiritueel
