Cuidado! Nueva herramienta para descubrir contraseñas MD5

baluart16 Diciembre 2007 - 12:50am 13 comentarios
Enviar por Email Imprimir

En la actualidad existen dos métodos muy utilizados para encriptar contraseñas y hacerlas más seguras. En primer lugar, SHA-1 que es un algoritmo que resume un mensaje de longitud máxima 264 bits (más de dos mil millones de Gigabytes) y produce como salida un resumen de 160 bits. Y MD5, la más conocida, que es, prácticamente, el algoritmo que todos los CMS utilizan para almacenar sus passwords.

Básicamente, lo que hace el algoritmo MD5 es convertir y reducir caracteres hasta 128 bits representados en 32 dígitos hexadecimales. Por ejemplo, si nuestra contraseña es “admin”, el hash que almacenamos en la Base de Datos será "21232f297a57a5a743894a0e4a801fc3". ¿Qué pasaría si alguien, aprovechando un bug del CMS, tuviera acceso a la BD y obtenga este hash? En teoría, MD5 produce un hash de ida; esto es, que no hay manera de descubrir cuál fue el texto que lo creo, no hay manera de desencriptarlo.

Cuidado! Nueva herramienta para descubrir contraseñas MD5

Para comprender como encripta MD5 tomemos unos ejemplos de la wikipedia.

Aquí veremos a un código de 28 bytes ASCII tratado con MD5:

MD5("Esto si es una prueba de MD5") = e07186fbff6107d0274af02b8b930b65

Un simple cambio en el mensaje nos da un cambio total en la codificación hash, en este caso cambiamos dos letras, el "si" por un "no".

MD5("Esto no es una prueba de MD5") = dd21d99a468f3bb52a136ef5beef5034

Otro ejemplo serí¬a la codificación de un campo vacío:

MD5("") = d41d8cd98f00b204e9800998ecf8427e

Ahora bien, a pesar de la complejidad de este algoritmo (hasta un espacio vacío produce un hash de 32 dígitos), desde hace algunos años se viene cuestionando seriamente la seguridad 100% de las cadenas hash MD5, y, como vamos a ver ahora, con la creación de base de datos especializadas en descubrir contraseñas, el problema se agrava.

Ya no será necesario contar con estudios en matemáticas o programación, ni contar con base de datos, ni gastar muchísimo tiempo tratando de descubrir estos hash; ahora, cualquiera puede puede descubrirlo. Lo que se esta haciendo es relacionar palabras (las más conocidas y utilizadas en los passwords) con los hash. Luego, buscando los hash podremos dar con las palabras. Esto es lo que hace por ejemplo esta herramienta.

¿Cuál es la moraleja de todo esto? Que como las palabras mas utilizadas son las que se van a ir almacenando, hay que tener cuidado en el password que elegimos. De preferencia hay que utilizar cadenas de texto sin sentido, o con un sentido especial para nosotros; mezclando letras, números y, de ser posible, caracteres especiales.

Enlace | MD5 Tool

Comentarios

Imagen de md5
md5

esto es bastante antiguo... y se lleva haciendo desde bastante tiempo...

Imagen de MetalAgent
Imagen de abel
abel

que puede ser  con esa foma   y me gustaria aprenderlo    

Imagen de jesusvld
Imagen de Veneno

Pero funcionan con un diccionario pree hecho, al mejor estilo fuerza bruta estaria bueno algo asi para las wifi jejej

Imagen de Yoennis
Yoennis

como se podria desencriptar esa cadena me gustaria conoserlo...la verdad la unica forma que me se de encriptar es con md5 

Imagen de Anonymous
Imagen de Anonymous

y que pasa cuando ya tienes el MD5 y lo que necesitas es apicar el inverso para encontrar la palabara que lo formulo, alguien conoce una herramienta pra saberlo?

Imagen de sarjo
sarjo

Es muy comun esto de hecho yo empece a crear una base de datos como esta solo que obtengo los datos de un script automatico que genera las palabras le hace md5 y sha1 y las guarda, no es lo mas optimo pero es fuerza bruta discontinua llevo noe menos de 157 millones de registros y apenas voy en palabras de 5 caracteres que empiezen con la letra e, estoy usando minusculas, mayusculas numeros y unos caracteres especiales permitidos un total de 72 caracteres, con simples calculos en 4 caracteres son casi 27 millones, la utilidad que le doy es uso personal como ya dijeron es muy comun esta encriptacion mis clientes pierden muchas contaseñas, me da la alternativa de intentar recuperarselas.

Imagen de Anonymous
Imagen de marvelito02
marvelito02

holaaa, me gustariaaa porfaaa de forma urgente que palabra escondida tiene esta cifra...

aabdf91c661115b2b14471a889d9c145

me ayudarian bastante debido al problema q tengo..
espero su respuesta lo antes posible!

Imagen de dimcraft
dimcraft

mmmm... mejor es saltar la comparacion de los pass encriptados.. con ollydbg o soft ice, jejej, aprendan asembler.. no es necesario... averiguar la contraseña si puedes saltarla..., tambien es valido para web...:)

Imagen de Anonymous
Anonymous

como lo hago me podrias orientar gracias

Tutoriales

Cómo descargar videos de VK.com
En este artículo voy a explicar como descargar videos y películas...
Descargar Facebook Móvil Gratis
Por si aún no lo han hecho, es posible descargar Facebook Móvil...
Cómo generar tráfico web con las redes sociales - Paso a Paso
Muchas empresas están publicando contenidos como la forma de crear...

Artículo Recomendado

3 Tips cruciales para recuperar archivos eliminados
¿Te imaginas perder el trabajo de toda una semana en tan solo unos segundos? Todos hemos pasado por este problema. Quizás eliminamos por error un archivo importante o lo borramos sin pensar que era valioso para otro... más