塩を見つけることは可能ですか？

Question

私はこれを持っていますPHPコードを持っています：

$auth = md5($username.$password.$salt);

私はダミーの値を持っています：

$username = user $password = password

そして、結果として得られるMD5ハッシュもあります：b4fbb742bc2a24bc033dbfb4f4582e08

使用した塩を探す必要があります。 John The RipperやHashcatなどでこれは可能ですか？

Jakuje · Answer

十分な時間があれば、一般的にはそうです。塩の長さや形式を知っているなら、それはあなたを助けるでしょう。ただし、他のハッシュ反転と同様に、この方法はブルートフォースです。

oclHashcat -m=0 b4fbb742bc2a24bc033dbfb4f4582e08 -a=3 userpassword?1?2?2?2?2?2?2

私はそれをテストしませんでしたが、 documentation は確かに始めるのに良い場所です。

Steve Sether · Answer

それは塩がどれだけのエントロピーを含んでいるかに依存します。 32ビット？承知しました。 128ビット、地獄のチャンスはありません。中間の何か、YMMV。

もちろん、使用するソルトはどこかで入手できる必要があります。入手できない場合、パスワードを他のものと比較することはできません。ソルトは（一般的に）ハッシュと同じくらい秘密であり、通常は同じ場所に保存されます。