Source pour crypter et decrypter du md5...

Signaler
Messages postés
23
Date d'inscription
samedi 19 avril 2008
Statut
Membre
Dernière intervention
30 septembre 2009
-
Messages postés
12303
Date d'inscription
mardi 10 février 2004
Statut
Modérateur
Dernière intervention
30 juillet 2012
-
Bonjour à tous !
C'est la première fois que je met un post sur ce forum mais bon... passons !
Voilà oggi j'ai découvert que l'on pouver decrypter du md5... Oui Decrypter la preuve ici : http://decrypt.vanvan.cc/
Mais je voulais savoir si quelqu'un avait un script pour faire la même chose sur mon site en outils personnel ? (pour moi ou visiteurs...)
Merci de votre aide !









Allez sur mon site



http://%3C/body
A voir également:

17 réponses

Messages postés
3472
Date d'inscription
lundi 16 juillet 2007
Statut
Membre
Dernière intervention
28 février 2014
29
Salut,

On ne peus pasdécrypter du MD5...

Ta page ne fais ni plus ni moins que de regarder dans une BDD si elle a pas un mot qui est éqivalent en MD5...

a++

Si la réponse vous convient, pensez : Réponse acceptée !
Messages postés
23
Date d'inscription
samedi 19 avril 2008
Statut
Membre
Dernière intervention
30 septembre 2009

Je suis désolé mais une phrase comme : dd8864102a8e1d84097d6936e950be80 en md5 il n'y a pas grand monde qui pense à l'ecrire...

Allez sur mon site

http://%3C/body
Messages postés
3472
Date d'inscription
lundi 16 juillet 2007
Statut
Membre
Dernière intervention
28 février 2014
29
Je suis aussi désolé mais je te dit qu'on ne peut pas décrypter du md5, c'est juste pleinde dictionnnaire de mot avec leurs équivalent en md5 qui sont utilisé....

Si tu ne me crois pas, va lire ce qui est écrit en dessous...

a++

Si la réponse vous convient, pensez : Réponse acceptée !
Messages postés
1123
Date d'inscription
mardi 8 janvier 2002
Statut
Modérateur
Dernière intervention
21 avril 2009
1
Tout d'abord, décrypter est un abus de langage. On parle de Déchiffrer.

Ensuite, Thekid06, le site dont tu fait référence n'a tout simplement fait qu'une boucle pour enregistrer tous les mots possibles (a, b, c, ..., aa, ab, ac, etc) avec son équivalence en md5. Lorsque toi tu donne un md5, il va voir s'il le connais, si oui il te l'affiche.

On ne peux pas vraiment déchiffrer un md5 comme cela. C'est une sorte de dictionnaire dont le site fait usage.
Messages postés
12303
Date d'inscription
mardi 10 février 2004
Statut
Modérateur
Dernière intervention
30 juillet 2012
36
en fait, decrypter est une erreur
dechiffrer est un abus de langage

la veritable experssion c'est : "trouver un antecedant a une valeur par la fonction md5"


on ne peut pas decrypter du md5, c'est mathematique, la fonction n'est pas injective, on a donc pas de fonction reciproque possible.

une fonction qui n'est pas injective, ca veut dire qu'il existe x1 et x2 tel que :
f(x1) = f(x2) ET x1 != x2
Messages postés
23
Date d'inscription
samedi 19 avril 2008
Statut
Membre
Dernière intervention
30 septembre 2009

Ok ! Mais est-ce que l'on pourrait m'aider pour faire une page equivalente a la leur

Désolé de mettre un peut "enervé" mais j'était sur le qui viv...

Allez sur mon site

http://%3C/body
Messages postés
10840
Date d'inscription
lundi 24 février 2003
Statut
Modérateur
Dernière intervention
2 mars 2010
21
Hello,

moi, j'aimerais savoir pourquoi tu veux faire ça? Je n'en vois pas l'intérêt pour une utilisation honnête...Si on a besoin d'avoir du cryptage/décryptage, ben...on crypte (ou chiffre...). Il y a des tas de fonctions/algo qui permettent de faire ça.
Messages postés
1123
Date d'inscription
mardi 8 janvier 2002
Statut
Modérateur
Dernière intervention
21 avril 2009
1
De plus md5 est maintenant déconseillé, il est préférable d'utiliser sha-256 (qui, d'après les experts, ne devrait plus survivre très longtemps lui aussi :p), plus sûr que le md5 !

Apres si tu doit absolument afficher un mot de passe à partir d'un hash, tu doit pouvoir trouver :
_ Une base de donnée de hash
_ Un webservice qui te propose de le faire
_ Utiliser le site que tu as indiqué et récuperer que ce qu'il t'intéresse avec des expressions régulières ou des substr
Messages postés
12303
Date d'inscription
mardi 10 février 2004
Statut
Modérateur
Dernière intervention
30 juillet 2012
36
codefalse, sha n'a pas encore de collision decouverte, mais ils devraient en trouver une rapidemen. mais sha n'a pas encore ete attaque par "second antecedant", (md5 non plus, mais ca ne saurait tarder...) alors que md4 est sensible a cette attaque.

t'as des clusters entiers qui bossent sur ce genre de tables... avec des dictionnaires, et des generateurs de : "passwords probables", t'arriveras probablement pas a faire mieux.
Messages postés
10840
Date d'inscription
lundi 24 février 2003
Statut
Modérateur
Dernière intervention
2 mars 2010
21
Hello,

"De plus md5 est maintenant déconseillé, il est préférable d'utiliser sha-256"
Ouais...mais en même temps...enfin, moi j'utilise sha1(). Pourquoi ? Parce que cette fonction existe en PHP. C'est facile : $sChaine = sha1($sChaine);
Je peux faire pareil avec md5, mais puisque sha1 est plus efficace...why not.
Mais aller plus loin...faut quand même se poser une question : je gère quoi ? Des données financières ? Des secrets d'état? Les mots de passe des membres de mon site sur l'aquariophilie...? Quel hacker va se prendre la tête pour hacker 1 compte utilisateur sur mon site sur l'aquariophilie...?
La sécurisation, oui...mais faut savoir garder la tête froide :-) Soyons lucide, 99,9% des sites amateurs n'auraient même pas besoin de hasher les mots de passe (si ce n'est pour une question légale hein...mais pas pour une question de sécurité).
Bref, sha1 suffit dans la grande majorité des cas. Et même md5. Voire 4...sauf que c'est moins pratique en PHP ;-)
Messages postés
12303
Date d'inscription
mardi 10 février 2004
Statut
Modérateur
Dernière intervention
30 juillet 2012
36
pouet

j'utilise le meme mot de passe sur de nombreux sites... en fait je suis inscrit sur plein plein de sites, et j'ai que 6-7 passwords differents...

si un de ces site se trouve avoir un pb de securite qui permet a un mechant garcon d'avoir mon password, alors j'aurais pas qu'un seul compte de vulnerable...

et sinon, visiter une base avec des UNION SELECT, ca se fait souvent sur les sites amateurs.
Messages postés
10840
Date d'inscription
lundi 24 février 2003
Statut
Modérateur
Dernière intervention
2 mars 2010
21
Attention, ne pas confondre sécurisation des données en les hashant/chiffrant etc, et sécurisation d'un site contre les injections et plus largement XSS. Faut pas croire...la plupart des hackers pro, de toute manière, ne sont pas intéressés par le fait de trouver une faille XSS leur permettant de tomber sur des mots de passe...hashés. Les vrais hackers, eux, cherchent le VRAI mot de passe, en clair , en appelant une société, en y allant, en se faisant passer pour quelqu'un d'autre...ou va créer un cheval de troie...c'est de l'espionnage : le but est de trouver des infos lui permettant de gagner des thunes : compte de la banque en ligne de l'infortuné, par exemple, ou espionnage industriel.
Le hacker...ou plutôt cracker, qui tente une XSS pour récupérer des hash, et qui ensuite va utiliser du brute force pour trouver les mots de passe correspondant est généralement bcp moins dangereux...il cherche l'exploit, lui. Il ne sait pas à qui appartient tel ou tel compte, ne connait pas la banque du gars, et ça s'arrête généralement là.

Vous regardez trop de films, ou écoutez trop les médias à sensations, les gars ;-)

Sans compter que...ton compte se fasse hacker sur UN site, ok, le webmaster est fautif. Mais le fait que ce compte ait été hacké implique que tes autres comptes, ailleurs, risquent de l'être simplement parce que ton mot de passe est découvert, le webmaster du premier site n'y peut rien...moi, j'ai un mot de passe différent par site. Ainsi, même si un site se fait hacker, mes autres comptes sont saufs.
On n'est jamais à l'abri...même avec un site super sécurisé, on peut se faire hacker. Les hackers ont TJRS et auront TJRS un temps d'avance.
A vrai dire je suis étonné, Max :-) Un informaticien est généralement très prudent au sujet de ses comptes web ;-)
Messages postés
12303
Date d'inscription
mardi 10 février 2004
Statut
Modérateur
Dernière intervention
30 juillet 2012
36
j'ai garde pendant tres longtemps des passwords debiles et "faibles", a tel point qu'un ami en avait trouve un en quelques essais seulement, il avait alors pu changer le titre d'une categorie de mon ancien blog :

ancien titre : "graphisme"
nouveau titre : "pates et gribouilles"

mon password root c'est : "max"

pour moi, actuellement, mon plus gros probleme de securite c'est : comment faire pour que personne (soeur, pere, cousins, amis, etc...) n'aille sur mon ordinateur

pour ca : il faut avoir un clavier empty, configure en clavier americain

pas besoin de password :)



j'administre mon server en ssh avec une clef ssh (pas de password), sur CS, si qqn me pique mon password, a mon avis, ca se verra tres vite... et ailleur, j'en ai pas grand chose a faire.
Messages postés
1123
Date d'inscription
mardi 8 janvier 2002
Statut
Modérateur
Dernière intervention
21 avril 2009
1
@Max : Si ta clef ssh n'a pas de passphrase, c'est risqué comme méthode (si t'a pas filtré les ip se connectant au serveur), parce que si j'arrive à acceder à ta machine perso, je peux accéder à ton serveur en deux coups de bric à brac, et là ca craint à fond ! :p

Biensur, si ta clef à une passphrase, là c'est déjà plus difficile pour moi d'accéder à ton serveur.

Et si tu limite les connexions ssh de ton serveur sur certaines ip seulement, je ne pourrais pas tenter mes exploits en dehors de tes ips, donc le risque est restreint.

@Malalam : Je ne fait que dire ce que les spécialistes conseils/informe. Maintenant pour ma part j'utilise aussi du sha1. De toute facon, tout est crackable, la différence, c'est le temps pour y arriver. Donc au final tout dépend de l'usage, comme tu l'a bien résumé ! :)
Par contre il y a un truc qui me chifonne. Tu dit avoir un mot de passe par sites. Mais tu les mémorises comment ???? Perso j'ai aussi un mot de passe par site (sauf exception), mais ma structure suit une logique qui, je pense, si quelqu'un vient à trouver un de mes mots de passe, il devrait trouver les autres :/
Messages postés
1123
Date d'inscription
mardi 8 janvier 2002
Statut
Modérateur
Dernière intervention
21 avril 2009
1
J'ai oublié de dire, Max (j'avais pas vu ton premier post apres le mien). J'ai bien indiqué que Sha ne devrait plus survivre bien longtemps. Je sais qu'actuellement il est fiable, mais apparement plus pour très longtemps.

J'adore ces discutions avec le partage des connaissances, c'est trop enrichissant :)
Messages postés
10840
Date d'inscription
lundi 24 février 2003
Statut
Modérateur
Dernière intervention
2 mars 2010
21
"Mais tu les mémorises comment ????"
J'ai une bonne mémoire...:-) Et pas tant de comptes que ça!
Et puis j'ai une technique infaillible sur bien des sites sur lesquels je vais peu mais dont j'ai besoin 1 fois tous 2 mois... : "Vous avez oublié votre mot de passe?" ;-) Je le fais à chaque fois.Lol.
Messages postés
12303
Date d'inscription
mardi 10 février 2004
Statut
Modérateur
Dernière intervention
30 juillet 2012
36
codes-sources
prologin
google
-gmail
-adscence
-igoogle
-code jam
france IOI
prologin
youtube
dailymotion
site du zero
coder project
mon pass universite (forum, wifi, etc...)
mon pass msn
mon pass @wanadoo.fr
mon pass newbicontest

euh...
ma machine (user, mysql et root)
la machine du salon de coiffure de ma mere (user, mysql et root)
les 5 machines de mon pere (en fait, j'ai qu'un seul compte sur une seule de ces machines)
mon code pin de telephone portable
mon code de carte bleue
mon ipcop (admin et root)
ma livebox (admin et ... ah non, on a pas le pass root...)
le pc d'un pote (que je lui taxe en lan partie)
mon dedie (pass ftp1, ftp2, acces mysql)

ca commence a faire beaucoup de password... (il doit m'en manquer quelques uns...)

j'en ai ptet 20 maximum pour tout ca...