Jeg har laget en database over vanlige passord med tilhørende md5-hasher. Jeg tok rett og slett en rimlig stor liste over vanlige engelske passord, skrev et pythonskript for å generere sql-kode og lastet hele sulmahitten opp med phpMyAdmin.

Resultatet er her: http://norhack.net/?q=node/111

Men det er "bare" 109 078 passord der for øyeblikket, og siden det er en norsk side lurer jeg på om det finnes lister over vanlige norske passord?

Jeg vet jeg kan ta hele den norske ordboken, men det føles veldig overkill

Enkelt nok å bruke de 100 mest vanlige navnene i norge og legge til et random antall tall bakom.

GJerne også navn på monitorer er ofte brukt.

hva er md5-hasher?

Ah, endelig en anledning for å skryte av min side. Inneholder vel 10 millioner ord med samsvarende hash.
Gjør som AtX sier, finn en liste over fornavn/etternavn og legg til 0-999. Lag gjerne også en hybridliste (jesus, Jesus, JeSuS, JEsus, ...).

MD5 er en "digest" algoritme som regner ut et "unikt" sett med 32 heksadesimale karakterer (unless i'm wrong)
Tekst som krypteres gjennom en hash-alg som MD5 kna i prinsippet ikke dekrypteres tilbake til plaintext, og derfor blir passord på registreringer etc ofte hashet før de legges inn i en database. Dermed, hvis DB'en blir hacket på noen måte, har ikke hackeren passordene allikevel.

Passordet ditt som du bruker til å logge på denne siden er kryptert (jeg vet ikke hvordan, men md5 er den desidert mest vanlige måten) på en slik måte at det er umulig å dekryptere det. Når krypteringen bare går en vei, så kalles den krypterte strengen en hash. Så la oss si at du bruker passordet "hemmelig". Når dette er kryptert gir det md5-hashen fb1d58de99be0ab633626f4e68f7129d.

Så, hvis noen hadde hacket deg inn i FreakForum og bestemt seg for å få tak i passordet ditt, ville de kopiert md5-hashen inn på norhack.net og fått passordet ditt.

Så velg passord med omhu

en md5 hash har _ingenting_ med kryptering å gjøre.

en md5-hash er 32 bytes lang, og kan rent logisk ikke inneholde mer enn 32 bytes. Men man kan lett hashe flere setninger eller store filer. Det er umulig å få ut informasjonen etterpå. md5-hasher brukes til å lage en "unik id" for informasjonen som ble puttet inn. Det er mulig, men lite sansynlig, at man finner 2 setninger/strenger med samme md5-hash.

Når man bruker md5 til passordvalidering, lagrer man bare en hash("id") av passordet i sin database. Når du seinere logger deg inn hashes passored du skreiv, og hashen man får ut, blir sammenlignet med den som er i databasen. Er den lik, er det _ekstremt_ sansynlig at det er det samme passordet.

---

Kryptering derimot, er å gjøre om informasjonen til noe uleselig. Man kan få informasjonen ut igjen om man kjenner reglene for å lese det.
eksempel på enkel kryptering: http://en.wikipedia.org/wiki/Caesar_cipher

---

Noen lager såkalte rainbow tables, som er en database over passord med tilhørende hash. Det er dette trådstarter har laget. Man kan med en slik tabell raskt finne ut hva et passord er, dersom passordet er lagret i databasen.

For å komme unna problemet med rainbow tables, tar man i bruk "salt". Man legger til et ekstra sett regler under hashingen som gjør at hashen/"unik id" til et passord blir helt annerledes.

(fiktivt) eksempel på salta hash:
uten salt :
test = 098
med salt:
test = 97b

ja, salt det kompliserer brute-force en smule
vil ikke det si at man må ha fysik tilgang på DB fila og selv da blir det "needle in the haystack" opplegg?
eller kan man regne seg frem til saltet? (altså derfor man trenger tilgang til fila og ikke bare en login)

Kan informasjon som et flashspill sender være md5 kryptert? Slik at om du bruker tamper data kan du dekryptere med den siden her: http://md5.hashcracking.com/ ?

Ingenting er kryptert med md5, siden som nevnt over er ikke md5 kryptering.