Het hangt allemaal af van hoe het systeem werkt bij het decoderen van het wachtwoord.
Je stelt je een heel basaal wachtwoordsysteem van het "inlog" -type voor dat zou kunnen worden geïnfiltreerd. Zoiets als ZIP-bestanden en websites gebruiken echter verschillende methoden om mensen te bestrijden die het systeem alleen bewerken om het te dwingen het wachtwoord te onthullen.
Eén manier is het gebruik van MD5 samen met 'salt' om de beveiliging te vergroten - dit werkt op basis van het feit dat het wachtwoord wordt omgezet in een onherkenbare code die niet kan worden teruggedraaid - een eenvoudig voorbeeld van wat er gebeurt is als volgt
Systeem vraagt om wachtwoord - bijv. PASSWORDSysteem voegt 'salt' toe aan wachtwoord - bijv. 1234 (wachtwoord is nu PASSWORD1234) Systeem gebruikt MD5 voor het wachtwoord met salt - de meeste mensen zullen weten dat PASSWORD op zichzelf de MD5-code zal genereren 319f4d26e3c536b5dd871bb2c52e3178 maar met het "1234" -zout toegevoegd aan het wachtwoord wordt de MD5 nu 579f276ad2a77e3ad --1698 een totaal andere code.
Op dit punt heeft het systeem nog steeds niet gecontroleerd of dat wachtwoord al dan niet geldig was, het geeft deze nieuwe code vervolgens door aan een ander gedeelte van het programma dat beslist of de MD5-code al dan niet komt overeen met wat wordt verwacht als het doet het toont het bestand (het initiële wachtwoord is al lang uit het geheugen gewist).
Iemand die dit type wachtwoord wil infiltreren, moet het initiële wachtwoord verkrijgen dat is ingevoerd eerst, en later nagaan of het programma het openen van het bestand toestond. Op een stuk software op een computer is het misschien mogelijk om het wachtwoord te verkrijgen en later te controleren of het bestand is geopend en het wachtwoord op deze manier te krijgen, maar als het wachtwoord als een MD5 + salt naar een andere server wordt verzonden ( bijvoorbeeld via javascript en PHP) wordt het een stuk lastiger omdat een computer het wachtwoord in het geheugen heeft dat het converteert en de php-server alleen het md5 + salt-wachtwoord heeft dat niet kan worden teruggeconverteerd.
Bovendien is een andere methode die wordt gebruikt om het wachtwoord op de een of andere manier in de gegevens te coderen, zo werken zip-bestanden, ik heb bijvoorbeeld een bestand met de volgende tekst ...
de snelle bruine vos springt over de luie hond
Ik geef hem een eenletterig wachtwoord van! ok ik weet dat het een beetje simpel is, maar dit is een eenvoudig voorbeeld - de computer zou dat kunnen converteren! in zijn ASCII-equivalent en trek de ascii-code van elke letter ervan af om deze te coderen - de ascii-code voor! is 33 en de ascii-code voor t is 116 en 116-33 = 83 wat de ascii-code is voor een hoofdletter S, dus wanneer de gegevens worden versleuteld, wordt de bovenstaande regel opgeslagen als
SGD PTHBJ AQNVM ENW ITLOR NUDQ SGD K @ YX CNF
als iemand dit bericht probeert te ontsleutelen, weet je niet of ze het juiste wachtwoord hebben of niet - als ze het wachtwoord # invoeren in plaats van! ze krijgen het volgende bericht terug.
vjg swkem dtqyp hqz lworu qxgt vjg nc | {fqi
wat nergens op slaat - dus de meeste systemen controleren de geldigheid van een wachtwoord, maar ze veranderen het wachtwoord in eerste instantie zodat het niet kan worden gehackt door iemand die het resultaat alleen maar omleidt - de enige keer dat dit soms mislukt is wanneer iemand zijn eigen nepwebsite of -programma maakt en de gebruiker ertoe aanzet om in eerste instantie zijn wachtwoord in te voeren in het nepprogramma of de website en natuurlijk komen veel websites daar nu zelfs aan om door authenticatietokens te gebruiken die speciale wachtwoorden genereren die slechts ongeveer 5 minuten per keer geldig zijn (bijvoorbeeld de HSBC smart key).