私はJohn The Ripper(JtR)と遊んで、SHA-512でハッシュされたソルトパスワードを20回の操作でクラック/監査しようとしました ソースによると (好奇心のために、これはa Railsアプリ、authlogic gem付き)。
私が正しく理解した場合、JtRはファイル内のハッシュを期待します。各ハッシュは特定の形式に従います。 SHA512の場合、この形式は次のようになります。
username:$6$SALT$HASH
これは、passwd/shadowファイルと互換性のある形式のようです。
私の問題は、JtRがBase64で期待しているハッシュのようですが、私のDBにあるハッシュは16進数であるということです。
私はこの断言で正しいですか? 20回「ストレッチ」された16進数のハッシュ(パスワード+ソルトで構成される)を認識するようにJtRに指示する方法はありますか?
ありがとうございました。
あなたの説明からは、ソルトとハッシュがどのようにDBのhexdigestにエンコードされるかは明らかではありません。まず、ダイジェストからソルトとハッシュを抽出する必要があります。それより、 http://www.vidarholen.net/contents/blog/?p= で説明されているsha512-cryptを作成できます。