<html><body><span style="display:block;" class="xfm_00509765"><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">Привет,<br data-mce-bogus="1"/></span></div>
<div><span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1"><br data-mce-bogus="1"/></span></div>
<div><span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">У любого современного хэша, (даже у устаревшего md5) есть редукционная функция (свёртка), которая применяется автоматически.<br/></span></div>
<div><span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1"><br data-mce-bogus="1"/></span></div>
<div>
<div><span style="font-family:Courier New;" class="xfmc2">DESCRIPTION</span></div>
<div><span style="font-family:Courier New;" class="xfmc2">    The MD5 functions calculate a 128-bit cryptographic checksum (digest) for</span></div>
<div><span style="font-family:Courier New;" class="xfmc2">    any number of input bytes.  A cryptographic checksum is a one-way hash-</span></div>
<div><span style="font-family:Courier New;" class="xfmc2">    function, that is, you cannot find (except by exhaustive search) the</span></div>
<div><span style="font-family:Courier New;" class="xfmc2">    input corresponding to a particular output.  This net result is a</span></div>
<div><span style="font-family:Courier New;" class="xfmc2">    “fingerprint” of the input-data, which does not disclose the actual</span></div>
<div><span style="font-family:Courier New;" class="xfmc2">    input.</span></div>
</div>
<div><br data-mce-bogus="1"/></div>
<div><br data-mce-bogus="1"/></div>
<div>
<div><span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">И это совсем не отсекание:</span><br/></div>
<div>
<div><span style="font-family:Courier New;" class="xfmc2"><span style="font-size:10pt;line-height:12pt;">$ </span>echo "string12" | md5</span></div>
<div><span style="font-family:Courier New;" class="xfmc2">e8dcca218f09eece9aa154b747a8a087</span></div>
<div>
<div><span style="font-family:Courier New;font-size:10pt;line-height:12pt;" class="xfmc2">$ echo "string1" | md5</span></div>
<div><span style="font-family:Courier New;font-size:10pt;line-height:12pt;" class="xfmc2">723882be3545a204d5c7cb7a7f5af674</span></div>
</div>
<div><span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">Шоп два раза не вставать:</span><br/></div>
<div>
<div><span style="font-family:Courier New;" class="xfmc2"><span style="font-size:10pt;line-height:12pt;">$ </span>echo "string12.____723882be3545a204d5c7cb7a7f5af674____e8dcca218f09eece9aa154b747a8a087" | md5</span></div>
<div><span style="font-family:Courier New;" class="xfmc2">412e09c11942834af9c00e228e4667f3</span></div>
<div><br/></div>
</div>
</div>
</div>
<div><span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1"><br data-mce-bogus="1"/></span></div>
<div><span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1"><br data-mce-bogus="1"/></span></div>
<div><i><span style="font-size:10pt;line-height:12pt;"><span style="font-family:Arial;">2 вересня 2020, 18:27:33, від "Volodymyr Litovka" <</span><a href="mailto:doka@xlit.one" target="_blank"><span style="font-family:Arial;">doka@xlit.one</span></a><span style="font-family:Arial;">>:</span></span></i></div>
<div><br/></div>
<blockquote style="border-left:1px solid #cccccc;margin:0px 0px 0px 0.8ex;padding-left:1ex;">
<div style="display:block;">
<div>Ну так, там один з каментів - найважливіший, мені йдеться - "If
      the password is stored as DES or MD5 then only the first 8
      characters are significant. SHA passwords have no such limit. See
      the crypt(3) man page for details."</div>
<div>Я навіть ніколи не задавався питанням, як налаштувати зберігання
      паролів в системі, а ж дивись - здається, так можна і навіть можна
      MD5 встановити? :)</div>
<div>On 02.09.2020 18:25, Vladimir Sharun
      wrote:</div>
<blockquote type="cite" style="border-left:1px solid #cccccc;margin:0px 0px 0px 0.8ex;padding-left:1ex;">
<div></div>
<div style="display:block;">
<div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">Джентльмены,</span></div>
<div><span style="font-size:10pt;line-height:12pt;font-family:Arial;"><br/></span></div>
<div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">Пасс хранится в виде хэша, который (алгоритм
            хэша) был задан в системе.</span></div>
<div><span style="font-size:10pt;line-height:12pt;font-family:Arial;"><br/></span></div>
<div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">Сравнение происходит по схеме:</span></div>
<div><span style="font-size:10pt;line-height:12pt;font-family:Arial;"><br/></span></div>
<div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">if(hash(password_given) ==
            get_passwd_hash(user)) {prohodi}{nizya}</span></div>
<div><span style="font-size:10pt;line-height:12pt;font-family:Arial;"><br/></span></div>
<div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">Нехватка символов приведет к другому хэшу.</span></div>
<div><span style="font-size:10pt;line-height:12pt;font-family:Arial;"><br/></span></div>
<div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">Сравниваются хэши. Уже давно-давно-давно
            пароли не хранятся в виде, который позволяет
            реверс-инжиниринг из хэша методом, кроме брутфорса.</span></div>
<div><br/></div>
<div><i><span style="font-size:10pt;line-height:12pt;"><span style="font-family:Arial;">2 вересня 2020, 18:19:17, від
                "Volodymyr Litovka" <</span><a href="mailto:doka@xlit.one" target="_blank"><span style="font-family:Arial;">doka@xlit.one</span></a><span style="font-family:Arial;">>:</span></span></i></div>
<div><br/></div>
<blockquote style="border-left:1px solid #cccccc;margin:0px 0px 0px 0.8ex;padding-left:1ex;">
<div style="display:block;">
<div>Привіт,</div>
<div>не про це? -
              <a href="https://serverfault.com/questions/129137/what-is-the-longest-password-for-ssh" target="_blank" rel="noreferrer noopener">https://serverfault.com/questions/129137/what-is-the-longest-password-for-ssh</a></div>
<div><br/></div>
<div>On 02.09.2020 13:26, Oleh Hrynchuk wrote:</div>
<blockquote type="cite" style="border-left:1px solid #cccccc;margin:0px 0px 0px 0.8ex;padding-left:1ex;">
<div>Доброго дня всім,
<div><br/></div>
<div>Стикнувся з тим, що в деяких випадках (кажу
                  "деяких", бо не можу перевірити УСІ) sftp checks only
                  the first 8 symbols in users passwords.</div>
<div>Тобто, якщо маємо, наприклад, юзера (login) test12
                  та пароль до нього 1234567890AaBb...,</div>
<div>то цього юзера пустить з БУДЬ-ЯКИМ паролем, котрий
                  починається з 12345678.</div>
<div><br/></div>
<div>І про це <a href="https://access.redhat.com/solutions/5357061" target="_blank" rel="noreferrer noopener">недавно відкрили тему</a> на
                  <a href="http://redhat.com" target="_blank" rel="noreferrer noopener">redhat.com</a>.</div>
<div>Але я туди не маю доступу до подальшого опису та
                  можливого workaround.</div>
<div>Може хто підкаже де там що фіксити потрібно?</div>
<div>Бо ж досить таки небезпечна штука...</div>
<div><br/></div>
<div>Чи я Зоркій Глаз? :)</div>

                <br/></div>
</blockquote>
</div>
</blockquote>
</div>
</blockquote>
<pre style="margin:5px 0;">-- 
Volodymyr Litovka
  "Vision without Execution is Hallucination." -- Thomas Edison</pre>
</div>
</blockquote></span></body></html>