Gravatar de Armonth

Bases de datos de hashes MD5 y cómo romperlos

Publicado el Miércoles 30 de Mayo del 2007 @ 2:45 por Armonth.

El tema de las inyecciones SQL en WordPress que permiten obtener los usuarios y hashes MD5 correspondientes a sus contraseñas están dando mucho de que hablar.

Akira de Debianizado ha publicado “Rompiendo hashes md5” un resumido artículo sobre cómo crearte tu propia base de datos MD5 con los hashes correspondientes a las palabras de diccionario. El método en esta ocasión cambia de romper los hashes MD5 para conseguir la contraseña a tener el hash previamente para compararlo y en caso de coincidir saber qué contraseña generó ése hash.

El método si bien tiene la misma efectividad que los ataques por fuerza bruta (muy bajo si tenemos contraseñas de 6 o más caracteres alfanuméricos tanto en mayúsculas como en minúsculas y con símbolos por en medio) es mucho más rápido ya que en vez de hacer un ataque de fuerza bruta por cada palabra sólo hay que hacer una comparación de un hash contra una base de datos.

, ,

2 Comentarios (feed)

  1. Gravatar de alex alex nos comenta:

    En el caso de Wordpress — y muchas otras aplicaciones — no es necesario “romper” los hashes MD5, puesto que sólo generando las cookies de autenticación es posible acceder como usuarios legítimos (como el ejemplo que puse para el bug de xmlrpc).

    Miércoles, 30 de Mayo/2007 @ 3:59

  2. Gravatar de Rarok Rarok nos comenta:

    Nada que no puedan arreglar las tablas rainbow creadas por fuerza bruta sin diccionarios XDD

    Miércoles, 30 de Mayo/2007 @ 14:07

No seas tímido, da tu opinión

Sé respetuoso con los demás, la diferencia de opiniones enriquece la discusión, los comentarios bajo ciertas circunstancias pueden ser moderados y requerir aprobación.