web-dev-qa-db-ja.com

SHA1でエンコードされた電子メールアドレスを回復する

すべて同じソルトでエンコードされたSHA1ハッシュのリストがあるとします。これらはすべて電子メールアドレスであり、ハッシュと電子メールアドレスの少なくとも1つの組み合わせを知っています。

hashcatのようなツールを使用してソルトを回復し、リスト全体をデコードすることは可能ですか?

誰かがそのようなリストを公開していて、自分のアドレスがリストに載っていることを知りました。そのリストをデコードすることが可能であれば、オフラインにするように説得したいと思います。そのために、私のような完全なアマチュアでさえ、これらのアドレスを妥当な時間、たとえば72時間で、最新のラップトップのような標準的なハードウェアでデコードできることを証明したいと思います。

1
EagleBeak

ソルトを見つけるのは比較的簡単です。ハッシュのソルトとして既知のメールアドレスをハッシュキャットに入れます。ただし、おそらく非ASCII salt(ランダムなバイナリデータなど))は処理されません。

ソルトを取得したら、予測可能なメールアドレス([email protected]など)を見つけるのは簡単ですが、完全に未知のスペースからアドレスを見つけるには、ユーザー名とドメインの両方を総当たり攻撃する必要があります。特定のアドレスが存在することは簡単ですが、元々存在していたすべてのものを見つけることは困難です。比較のために、12文字のランダムパスワードでさえこの方法で破ることは難しく、ほとんどの電子メールアドレスはそれよりも長くなっています(通常は比較的予測可能ですが)。

これは、リストの内容を見つける最良の方法は、ソルトを見つけてから、電子メールアドレスのリストをハッシュしてリストにあるかどうかを確認することです。電子メールアドレスは一般に非公開にされていないため(他の人に電子メールを送信するのは非常に困難です)、誤って公開されたデータベースから定期的に削除され、ペーストビンなどの場所に大きなリストに入れられます。あなたのメールアドレスが信頼できる連絡先でのみ使用されていない限り、これらのリストの少なくとも1つにすでに表示されている可能性があります...

1
Matthew