Cuidado! Nueva herramienta para descubrir contraseñas MD5

Dom, 12/16/2007 - 00:50 : baluart

En la actualidad existen dos métodos muy utilizados para encriptar contraseñas y hacerlas más seguras. En primer lugar, SHA-1 que es un algoritmo que resume un mensaje de longitud máxima 264 bits (más de dos mil millones de Gigabytes) y produce como salida un resumen de 160 bits. Y MD5, la más conocida, que es, prácticamente, el algoritmo que todos los CMS utilizan para almacenar sus passwords.

Básicamente, lo que hace el algoritmo MD5 es convertir y reducir caracteres hasta 128 bits representados en 32 dígitos hexadecimales. Por ejemplo, si nuestra contraseña es “admin”, el hash que almacenamos en la Base de Datos será "21232f297a57a5a743894a0e4a801fc3". ¿Qué pasaría si alguien, aprovechando un bug del CMS, tuviera acceso a la BD y obtenga este hash? En teoría, MD5 produce un hash de ida; esto es, que no hay manera de descubrir cuál fue el texto que lo creo, no hay manera de desencriptarlo.

Cuidado! Nueva herramienta para descubrir contraseñas MD5

Para comprender como encripta MD5 tomemos unos ejemplos de la wikipedia.

Aquí veremos a un código de 28 bytes ASCII tratado con MD5:

MD5("Esto si es una prueba de MD5") = e07186fbff6107d0274af02b8b930b65

Un simple cambio en el mensaje nos da un cambio total en la codificación hash, en este caso cambiamos dos letras, el "si" por un "no".

MD5("Esto no es una prueba de MD5") = dd21d99a468f3bb52a136ef5beef5034

Otro ejemplo serí¬a la codificación de un campo vacío:

MD5("") = d41d8cd98f00b204e9800998ecf8427e

Ahora bien, a pesar de la complejidad de este algoritmo (hasta un espacio vacío produce un hash de 32 dígitos), desde hace algunos años se viene cuestionando seriamente la seguridad 100% de las cadenas hash MD5, y, como vamos a ver ahora, con la creación de base de datos especializadas en descubrir contraseñas, el problema se agrava.

Ya no será necesario contar con estudios en matemáticas o programación, ni contar con base de datos, ni gastar muchísimo tiempo tratando de descubrir estos hash; ahora, cualquiera puede puede descubrirlo. Lo que se esta haciendo es relacionar palabras (las más conocidas y utilizadas en los passwords) con los hash. Luego, buscando los hash podremos dar con las palabras. Esto es lo que hace por ejemplo esta herramienta.

¿Cuál es la moraleja de todo esto? Que como las palabras mas utilizadas son las que se van a ir almacenando, hay que tener cuidado en el password que elegimos. De preferencia hay que utilizar cadenas de texto sin sentido, o con un sentido especial para nosotros; mezclando letras, números y, de ser posible, caracteres especiales.

Enlace | MD5 Tool

esto es bastante ant

esto es bastante antiguo... y se lleva haciendo desde bastante tiempo...

Enviado por md5 (no verificado) el Dom, 12/16/2007 - 09:38.
Md5 tiene raz

Md5 tiene raz

Enviado por MetalAgent (no verificado) el Dom, 12/16/2007 - 13:52.
que puede ser

que puede ser  con esa foma   y me gustaria aprenderlo    

Enviado por abel (no verificado) el Dom, 12/16/2007 - 15:14.
La recomendaci

La recomendaci

Enviado por jesusvld (no verificado) el Jue, 12/20/2007 - 12:20.
Pero funcionan con u

Pero funcionan con un diccionario pree hecho, al mejor estilo fuerza bruta estaria bueno algo asi para las wifi jejej

Enviado por Veneno (no verificado) el Mié, 12/26/2007 - 05:22.
como se podria desen

como se podria desencriptar esa cadena me gustaria conoserlo...la verdad la unica forma que me se de encriptar es con md5 

Enviado por Yoennis (no verificado) el Mar, 02/19/2008 - 13:26.
(Sin asunto) Enviado por Anonymous (no verificado) el Jue, 03/27/2008 - 20:11.
y que pasa cuando ya tienes

y que pasa cuando ya tienes el MD5 y lo que necesitas es apicar el inverso para encontrar la palabara que lo formulo, alguien conoce una herramienta pra saberlo?

Enviado por Anonymous (no verificado) el Dom, 06/15/2008 - 10:23.
Es muy comun esto de hecho yo

Es muy comun esto de hecho yo empece a crear una base de datos como esta solo que obtengo los datos de un script automatico que genera las palabras le hace md5 y sha1 y las guarda, no es lo mas optimo pero es fuerza bruta discontinua llevo noe menos de 157 millones de registros y apenas voy en palabras de 5 caracteres que empiezen con la letra e, estoy usando minusculas, mayusculas numeros y unos caracteres especiales permitidos un total de 72 caracteres, con simples calculos en 4 caracteres son casi 27 millones, la utilidad que le doy es uso personal como ya dijeron es muy comun esta encriptacion mis clientes pierden muchas contaseñas, me da la alternativa de intentar recuperarselas.

Enviado por sarjo (no verificado) el Mié, 08/13/2008 - 20:23.

Deja tu comentario

El contenido de este campo se mantiene privado y no se mostrará públicamente.
  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Etiquetas HTML permitidas: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Saltos automáticos de líneas y de párrafos.

Más información sobre opciones de formato

Suscríbete

  • Suscribete a nuestro feed
  • Add to Google Reader or Homepage
  • Subscribe in NewsGator Online
  • Add to My AOL
  • Subscribe in Bloglines
  • Add to netvibes

Últimos comentarios

Copyright © 2005 - 2008 - BaluArt - Privacy policy
This blog is licensed under a Creative Commons. (Solo algunos reservados)