Bases de datos de hashes MD5 y cómo romperlos

El tema de las inyecciones SQL en WordPress que permiten obtener los usuarios y hashes MD5 correspondientes a sus contraseñas están dando mucho de que hablar.

Akira de Debianizado ha publicado “Rompiendo hashes md5” un resumido artículo sobre cómo crearte tu propia base de datos MD5 con los hashes correspondientes a las palabras de diccionario. El método en esta ocasión cambia de romper los hashes MD5 para conseguir la contraseña a tener el hash previamente para compararlo y en caso de coincidir saber qué contraseña generó ése hash.

El método si bien tiene la misma efectividad que los ataques por fuerza bruta (muy bajo si tenemos contraseñas de 6 o más caracteres alfanuméricos tanto en mayúsculas como en minúsculas y con símbolos por en medio) es mucho más rápido ya que en vez de hacer un ataque de fuerza bruta por cada palabra sólo hay que hacer una comparación de un hash contra una base de datos.

2 Comentarios (feed)

1. alex nos comenta:
   

   En el caso de Wordpress — y muchas otras aplicaciones — no es necesario “romper” los hashes MD5, puesto que sólo generando las cookies de autenticación es posible acceder como usuarios legítimos (como el ejemplo que puse para el bug de xmlrpc).

   Miércoles, 30 de Mayo/2007 @ 3:59

2. Rarok nos comenta:
   

   Nada que no puedan arreglar las tablas rainbow creadas por fuerza bruta sin diccionarios XDD

   Miércoles, 30 de Mayo/2007 @ 14:07

Comentarios cerrados