En la actualidad existen dos métodos muy utilizados para encriptar contraseñas y hacerlas más seguras. En primer lugar, SHA-1 que es un algoritmo que resume un mensaje de longitud máxima 264 bits (más de dos mil millones de Gigabytes) y produce como salida un resumen de 160 bits. Y MD5, la más conocida, que es, prácticamente, el algoritmo que todos los CMS utilizan para almacenar sus passwords.
Básicamente, lo que hace el algoritmo MD5 es convertir y reducir caracteres hasta 128 bits representados en 32 dígitos hexadecimales. Por ejemplo, si nuestra contraseña es “admin”, el hash que almacenamos en la Base de Datos será "21232f297a57a5a743894a0e4a801fc3". ¿Qué pasaría si alguien, aprovechando un bug del CMS, tuviera acceso a la BD y obtenga este hash? En teoría, MD5 produce un hash de ida; esto es, que no hay manera de descubrir cuál fue el texto que lo creo, no hay manera de desencriptarlo.
Para comprender como encripta MD5 tomemos unos ejemplos de la wikipedia.
Aquí veremos a un código de 28 bytes ASCII tratado con MD5:
MD5("Esto si es una prueba de MD5") = e07186fbff6107d0274af02b8b930b65
Un simple cambio en el mensaje nos da un cambio total en la codificación hash, en este caso cambiamos dos letras, el "si" por un "no".
MD5("Esto no es una prueba de MD5") = dd21d99a468f3bb52a136ef5beef5034
Otro ejemplo serí¬a la codificación de un campo vacío:
MD5("") = d41d8cd98f00b204e9800998ecf8427e
Ahora bien, a pesar de la complejidad de este algoritmo (hasta un espacio vacío produce un hash de 32 dígitos), desde hace algunos años se viene cuestionando seriamente la seguridad 100% de las cadenas hash MD5, y, como vamos a ver ahora, con la creación de base de datos especializadas en descubrir contraseñas, el problema se agrava.
Ya no será necesario contar con estudios en matemáticas o programación, ni contar con base de datos, ni gastar muchísimo tiempo tratando de descubrir estos hash; ahora, cualquiera puede puede descubrirlo. Lo que se esta haciendo es relacionar palabras (las más conocidas y utilizadas en los passwords) con los hash. Luego, buscando los hash podremos dar con las palabras. Esto es lo que hace por ejemplo esta herramienta.
¿Cuál es la moraleja de todo esto? Que como las palabras mas utilizadas son las que se van a ir almacenando, hay que tener cuidado en el password que elegimos. De preferencia hay que utilizar cadenas de texto sin sentido, o con un sentido especial para nosotros; mezclando letras, números y, de ser posible, caracteres especiales.
Enlace | MD5 Tool
Si te gustó este artículo también te gustará...
esto es bastante antiguo... y se lleva haciendo desde bastante tiempo...
Md5 tiene raz
que puede ser con esa foma y me gustaria aprenderlo
La recomendaci
Pero funcionan con un diccionario pree hecho, al mejor estilo fuerza bruta estaria bueno algo asi para las wifi jejej
como se podria desencriptar esa cadena me gustaria conoserlo...la verdad la unica forma que me se de encriptar es con md5
y que pasa cuando ya tienes el MD5 y lo que necesitas es apicar el inverso para encontrar la palabara que lo formulo, alguien conoce una herramienta pra saberlo?
Es muy comun esto de hecho yo empece a crear una base de datos como esta solo que obtengo los datos de un script automatico que genera las palabras le hace md5 y sha1 y las guarda, no es lo mas optimo pero es fuerza bruta discontinua llevo noe menos de 157 millones de registros y apenas voy en palabras de 5 caracteres que empiezen con la letra e, estoy usando minusculas, mayusculas numeros y unos caracteres especiales permitidos un total de 72 caracteres, con simples calculos en 4 caracteres son casi 27 millones, la utilidad que le doy es uso personal como ya dijeron es muy comun esta encriptacion mis clientes pierden muchas contaseñas, me da la alternativa de intentar recuperarselas.
SE SACA,HACKEA CORREOS HOTMAIL
YAHOO SE DA PRUEBAS DE OBTENCION DEL CORREO
ESCRIBENOS bstareen@gmail.com informate mas aqui
http://bstareen.blogspot.com
SOMOS SERIOS EN NUESTROS TRABAJOS DANDO LAS PRUEBAS
holaaa, me gustariaaa porfaaa de forma urgente que palabra escondida tiene esta cifra...
aabdf91c661115b2b14471a889d9c145
me ayudarian bastante debido al problema q tengo..
espero su respuesta lo antes posible!
mmmm... mejor es saltar la comparacion de los pass encriptados.. con ollydbg o soft ice, jejej, aprendan asembler.. no es necesario... averiguar la contraseña si puedes saltarla..., tambien es valido para web...:)
como lo hago me podrias orientar gracias