Too Many Secrets: MD5 descifrado

Leo en news.com, vía patoroco.net que un matemático francés, Antoine Joux, ha conseguido encontrar fallos en el algoritmo MD5, que utilizan para las contraseñas programas como el CMS WordPress o el sistema de foros phpbb. 😮 😮 😮

MD son las siglas de Message Digest. Es un algoritmo que toma una mensaje y devuelve un hash de 128-bits (32 caracteres). Es decir, es un algoritmo que toma una serie de caracteres (por ejemplo una contraseña, contraseña) y aplica una serie de transformaciones sobre esta para producir una cadena de 32 caracteres y que es función del mensaje de entrada. Se almacenaría el hash resultante de la contraseña en lugar de la contraseña en si, de forma que si un atacante consigue hacerse con el no le sirva da nada; y a la hora de autentificar se generaría el hash de lo que ha introducido el usuario y se compararía con el hash de la contraseña.

Comentarios
  1. Que lo utilicen los CMS o los foros es lo de menos, no es eso lo más importante, ya que es un sistema que se utiliza para todo tipo de cosas, sistemas, etc… 😕 😕 😮 😕 😮

    Responder

  2. yap, creo que linux tb lo usa… y nt… pero como no estoy seguro no lo he puesto 😛
    he puesto esos 2 porque era de los que lo sabia con seguridad 🙄

    Responder

  3. Ya.. 🙄 . Pero quiero decir que no creo que nadie se mate a descifrar claves e inyectar SQL para hacerse con el control de un blog… 😮 en cambio si lo usan Sistemas donde haya datos importantes… 😮 😮 😮 😮

    Responder

  4. […] MD5 cracked

    Por: manu
    [20/08/2004 3:18]
    comentarios

    Fallos de suguridad en el algoritmo MD5

    Este […]

    Responder

  5. Si de verdad han crackeado el MD5 (Realmente han crackeado el SHA-0) vamos listos. Es un sistema de generación de hashes únicos (o eso se pensaba), por lo que el hecho de que otra contraseña genere el mismo hash es un problema gordísimo-ísimo

    Era de esperar, ya que un hash, por muy grande que sea (16^512 bits, para los de 512), siempre es finito, y por cojones tiene que haber dos valores que generen el mismo hash. Encontrarlos aleatoriamente es imposible. Pero si los encuentran por ingeniería inversa ya podemos ponernos a temblar.

    Solución: proteger los hashes contra miradas indiscretas. Ahora ya no hará falta la fuerza bruta para sacar contraseñas :S

    Responder

  6. En mi blog guardo el hash de mi clave en un archivo PHP, de manera que

    < ?php $hash="EL HASH"; ?>

    Al entrar desde fuera, se ejecutará el PHP y no se verá el hash. Ni por mucho SQL injection ni leches.

    Por cierto, el sistema que utiliza WordPress es parecido, pero WordPress la guarda sin encriptar 😕

    Responder

  7. Pues no es un mega problema, durante años se han almacenado muchas contraseñas en texto plano, ahora aunque me pillasen un dato en MD5 y pudiesen desencriptarlo, necesitan tiempo, supongo además… que mucho tiempo y siempre tenemos la posibilidad de los datos más importantes encriptarlos en otro sistema… o… incluso… nadie nos impide hacer algo como esto:

    contraseña = MD5 ( contraseña base ) + MD5 ( contraseña privada )

    Sobre lo de guardar los datos en un PHP, es muy poco seguro, sobretodo si no tenemos el control de nuestro servidor. Imaginemos un error humano simple, algo como perder el parseo de codigo PHP al actualizar un apache… todos los ficheros PHP pasarian a verse como código y veriamos la contraseña, y si ponemos que exista algun bug en algun rincon del servidor con el que podamos llegar a leer fichero del disco, como por ejemplo el que tenia la aplicacion phpmyadmin hace tan solo un par de versiones…

    Sea como sea…. y donde sea… si tenemos algun dato importante, hay que encriptarlo, mantener la costumbre de cambiar esos “protectores” cada cierto tiempo, usar palabras complicadas…

    Responder

  8. Exacto, por eso WordPress no es nada seguro. Porque con acceder al wp-config.php tenemos la contraseña del admin sin encriptar (y la de la BD).

    En mi CMS la encripta en MD5…

    Responder

  9. Por ejemplo, siempre podemos hacernos nuestros propios sistemas de encriptacion:

    $nombre = “Toad”;
    $clave = “clave”;

    $hash = md5($nombre).md5($clave);

    $hash = strrev($hash);

    Ya tenemos un sistema seguro 🙂

    Responder

  10. […] lena? (Parte 2)
    Clasificado bajo: Tecnolog�a — AlmaOscura @ 21:01

    V�a Zootropo y PaToRoCo, me entero que ya han descrifrado el modo de des […]

    Responder

  11. Bueno, pues ya se inventarán algo como pasó con el DES y el Triple-DES. No veo un problema especialmente grande… es una putadilla; pero no un problema.

    Alguien rompió el DES, pero vieron que esa misma técnica no servía si a la cadena le aplicabas DES tres veces… así que algo así harán con el MD5 😀

    Salu2.Ferdy

    Responder

  12. Hmmm…

    Y por qué no… el MD5 del MD5 del DES del MD4 del MD5 de una cadena al revés … 😕

    Responder

  13. no es el fin del mundo claro 😛 pero de todas formas tienen que andar sacando versiones nuevas y es un coñazo

    Responder

  14. digo no…, pero si hacemos el md5 del md5 ya es mas que suficiente…
    no les parece?

    o sino le agregan algo al string…
    Que matematico que debe ser… porque para ponerse a sacar a seguir inversamente al hash… 😛

    este no tenia ganas de estudiar sobre cracking xDD
    buen blog 😉

    Responder

  15. Roberto

    Si han roto el md5, nos queda el sha1, que está soportado tanto por PHP como por MySQL

    Responder

  16. Por cierto, sabes dónde encontrar el algoritmo del md5? y de otros sistemas similares.
    tengo curiosidad por saber cómo funcionan, sobre todo cuando se aplica a ficheros enormes.

    Responder

  17. Omar

    Yo les recomiendo este otro sitio que me funciono mejor en 2 contraseñas que buscaba
    espero les ayude como a mi

    Responder

  18. comment

    Responder

Deja un comentario