Too Many Secrets: MD5 descifrado

Leo en news.com, vía patoroco.net que un matemático francés, Antoine Joux, ha conseguido encontrar fallos en el algoritmo MD5, que utilizan para las contraseñas programas como el CMS WordPress o el sistema de foros phpbb. 😮 😮 😮

MD son las siglas de Message Digest. Es un algoritmo que toma una mensaje y devuelve un hash de 128-bits (32 caracteres). Es decir, es un algoritmo que toma una serie de caracteres (por ejemplo una contraseña, contraseña) y aplica una serie de transformaciones sobre esta para producir una cadena de 32 caracteres y que es función del mensaje de entrada. Se almacenaría el hash resultante de la contraseña en lugar de la contraseña en si, de forma que si un atacante consigue hacerse con el no le sirva da nada; y a la hora de autentificar se generaría el hash de lo que ha introducido el usuario y se compararía con el hash de la contraseña.

18 pensamientos en “Too Many Secrets: MD5 descifrado”

  1. Que lo utilicen los CMS o los foros es lo de menos, no es eso lo más importante, ya que es un sistema que se utiliza para todo tipo de cosas, sistemas, etc… 😕 😕 😮 😕 😮

  2. Ya.. 🙄 . Pero quiero decir que no creo que nadie se mate a descifrar claves e inyectar SQL para hacerse con el control de un blog… 😮 en cambio si lo usan Sistemas donde haya datos importantes… 😮 😮 😮 😮

  3. Pingback: A Proletarium Blog | MD5 cracked

  4. Si de verdad han crackeado el MD5 (Realmente han crackeado el SHA-0) vamos listos. Es un sistema de generación de hashes únicos (o eso se pensaba), por lo que el hecho de que otra contraseña genere el mismo hash es un problema gordísimo-ísimo

    Era de esperar, ya que un hash, por muy grande que sea (16^512 bits, para los de 512), siempre es finito, y por cojones tiene que haber dos valores que generen el mismo hash. Encontrarlos aleatoriamente es imposible. Pero si los encuentran por ingeniería inversa ya podemos ponernos a temblar.

    Solución: proteger los hashes contra miradas indiscretas. Ahora ya no hará falta la fuerza bruta para sacar contraseñas :S

  5. En mi blog guardo el hash de mi clave en un archivo PHP, de manera que

    < ?php $hash="EL HASH"; ?>

    Al entrar desde fuera, se ejecutará el PHP y no se verá el hash. Ni por mucho SQL injection ni leches.

    Por cierto, el sistema que utiliza WordPress es parecido, pero WordPress la guarda sin encriptar 😕

  6. Pues no es un mega problema, durante años se han almacenado muchas contraseñas en texto plano, ahora aunque me pillasen un dato en MD5 y pudiesen desencriptarlo, necesitan tiempo, supongo además… que mucho tiempo y siempre tenemos la posibilidad de los datos más importantes encriptarlos en otro sistema… o… incluso… nadie nos impide hacer algo como esto:

    contraseña = MD5 ( contraseña base ) + MD5 ( contraseña privada )

    Sobre lo de guardar los datos en un PHP, es muy poco seguro, sobretodo si no tenemos el control de nuestro servidor. Imaginemos un error humano simple, algo como perder el parseo de codigo PHP al actualizar un apache… todos los ficheros PHP pasarian a verse como código y veriamos la contraseña, y si ponemos que exista algun bug en algun rincon del servidor con el que podamos llegar a leer fichero del disco, como por ejemplo el que tenia la aplicacion phpmyadmin hace tan solo un par de versiones…

    Sea como sea…. y donde sea… si tenemos algun dato importante, hay que encriptarlo, mantener la costumbre de cambiar esos “protectores” cada cierto tiempo, usar palabras complicadas…

  7. Exacto, por eso WordPress no es nada seguro. Porque con acceder al wp-config.php tenemos la contraseña del admin sin encriptar (y la de la BD).

    En mi CMS la encripta en MD5…

  8. Por ejemplo, siempre podemos hacernos nuestros propios sistemas de encriptacion:

    $nombre = “Toad”;
    $clave = “clave”;

    $hash = md5($nombre).md5($clave);

    $hash = strrev($hash);

    Ya tenemos un sistema seguro 🙂

  9. Pingback: AfterDusk » �Existe realmente la seguridad plena? (Parte 2)

  10. Bueno, pues ya se inventarán algo como pasó con el DES y el Triple-DES. No veo un problema especialmente grande… es una putadilla; pero no un problema.

    Alguien rompió el DES, pero vieron que esa misma técnica no servía si a la cadena le aplicabas DES tres veces… así que algo así harán con el MD5 😀

    Salu2.Ferdy

  11. digo no…, pero si hacemos el md5 del md5 ya es mas que suficiente…
    no les parece?

    o sino le agregan algo al string…
    Que matematico que debe ser… porque para ponerse a sacar a seguir inversamente al hash… 😛

    este no tenia ganas de estudiar sobre cracking xDD
    buen blog 😉

  12. Por cierto, sabes dónde encontrar el algoritmo del md5? y de otros sistemas similares.
    tengo curiosidad por saber cómo funcionan, sobre todo cuando se aplica a ficheros enormes.

Responder a Jordi Rivero Cancelar respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.