Claves poco seguras en MD5
Uno no es consciente, al menos yo no lo era, de lo fácil que puede resultar descifrar una clave encriptada en MD5 (u otro algoritmo) mediante fuerza bruta.
Un alto porcentaje de los internautas usan contraseñas simples, de 6 a 8 caracteres, compuestas por letras y números (en el mejor de los casos). Si tenemos en cuenta que muchas páginas necesitan registro, es posible que dejemos nuestro hash en manos poco recomendadas. A esto se le une en ocasiones el usar la misma contraseña para todos los servicios: webs inseguras, Paypal, email… En definitiva, si alguien desencripta nuestra contraseña podría jodernos bien.
Ahí van algunas pruebas:
Contraseña: 1542356 (7 dígitos)
Hash (MD5): 5d399a758835f1187a83c73c17f62cb9
Alfabeto: Sólo números
Tiempo: 1,687 segundos
Contraseña: maletin (7 caracteres)
Hash (MD5): 61f419c90c461c3fea7905f50d294969
Alfabeto: Sólo letras minúsculas
Tiempo: 16 minutos y 9 segundos
Contraseña: maletin (7 caracteres)
Hash (MD5): 61f419c90c461c3fea7905f50d294969
Alfabeto: Sólo letras (Minúsculas y Mayúsculas)
Tiempo: 12 horas aprox.
Más claro el agua. Cualquier persona con información comprometida en su PC debería tener una contraseña segura. Es recomendable que tenga más de 8 caracteres, letras mayúsculas y minúsculas, números e incluso algún símbolo especial (%, &, /, =…). También deberíamos descartar palabras existentes y no repetir en demasía las mismas letras o dígitos.
Más información buscando “Contraseñas seguras” en Google.
13 Comentarios
Añade tu Comentario
Sponsor
Buscar
Destacado
- Ahorra $50 en DreamHost
- Asides o miniblog en WP
- Koala, Opa voy hacer corral
- Tiendas online de camisetas
- Convertir videos flv a avi, mov y mp4
- Custom fields de WordPress
- Hoteldipity
Categorías
Publicidad
Expo Cursos, Cursos de informática, Cursos de idiomas, Chat con fotos, Descargas de software, Juegos online gratis, Ganar regalos por navegar, Tablón de anuncios
Reservas de hoteles y vuelos
Text Link Ads
- Vuelos Baratos
- Vuelos Baratos
- Nouveau Riche University Blog
- Website Templates
- Best Video Converter Software
zetxek dice:
No son la misma contraseña “maletin” y “maletin”?
Comentario — 1/6/2006
Boja dice:
Si zetxek, pero en uno el alfabeto usado son las letras minúsculas únicamente y en el otro minúsculas y mayúsculas, lo que incrementa en varias horas el tiempo empleado.
Comentario — 1/6/2006
peter dice:
md5 is asynchronous. You can’t really decrypt it. However, if the password is a weak password, there are a few online dictionaries that will try to decypher it for you. What it’ll be doing is using a method called rainbow tables and lookup the md5 has you submitted against their library of md5 hashes. If your md5 is there then you’ll be able to get the decrypted version.
This method will only work IF the hash is weak and that their rainbow tables are large enough (could be up to hundreds of gigs). Even with that, if it’s a salted md5, the chances are it’ll not be able to be decrypted.
Comentario — 1/6/2006
estornino dice:
Está claro que hoy en día la seguridad de la mayoría de los entornos informáticos, tanto de empresas como de particulares se toma a pichiflauta. Lo que pasa es que si al poco rigor que se emplea en la elaboración de una contraseña, se le añade con que me he topado con numerosos servicios que limitan el tamaño de la contraseña a 6 letras (se excluyen números), ya la cosa pasa a ser aún más preocupante.
Si a esto añadimos que hoy por hoy prácticamente no hay ningún algoritmo “seguro” (md5 es vulnerable, blowfish es vulnerable, sha-1 y sha-256 también lo son) y RSA por supuesto tampoco lo es. Se concluye que la seguridad por contraseñas es una labor que necesita de un pequeño trabajo constante por parte del usuario.
Cualquier dia desempolvo mis trabajos al respecto y los publico.
Saludos
Comentario — 1/6/2006
MoRDi dice:
Lo mas peligroso no son los ataques de “Brute force”, la gran devilidad son los de diccionario, porque muy poca gente usa conraseñas que no tienen un significado, una manera de crear contraseñas seguras es usar 8 caracteres no poner mas de 2 letras o numero seguidos y usar mayusculas y minusculas por ejemplo: Yo07eN65, es una clave que se podria considerar segura. As puesto tiempos de sencriptacion, pero en que maquinas? no es lo mismo desde un equipo normal o desde un cluster de 10 ordenadores…
Comentario — 1/6/2006
Boja dice:
Los hice desde mi propio ordenador con el fin de hacer ver que cualquiera puede hacerlo sin tener la más mínima idea.
Comentario — 1/6/2006
álvaro dice:
Por eso quien vaya a almacenar tu contraseña tiene que utilizar la entropía. Es decir, crear un hash con tu password + otros datos que no sean conocidos por otras partes. Por ejemplo, se podría hacer un hash formado por:
password + nombre de usuario + cadena aleatoria asociada a la web en cuestión.
De tal manera los hash’s resultantes de encriptar un password difererirán de un site a otro.
Nosotros es lo que utilizamos.
Comentario — 1/6/2006
Sitoxic dice:
Dio mío y yo usando “amor” de contraseña ahhhhhhhh Voy a cambiarlo ahora mismo por algo mas difcil de descubrir “qwerty” quizás :)
Comentario — 1/6/2006
z3z3 dice:
esa sigue siendo una clave muy chota..
te recomiendo ENORMEMENTE q utilizes contraseñas como estas:
no m acuerdo dnd lo lei pero es una brillante y excelente idea..
usa de contraseña MAILS o paginas WEB..
por ej..
todos recuerdan la pagina
www.google.com
porq no la utilizan de contraseña?
tiene 15 caracteres.. cosa q ya seria dificil de desencriptar
y tiene caracteres especiales (puntos)
los dejo colegas ;)
Comentario — 27/7/2006
jaja dice:
www.google.com tiene 14 letras, jajaja
Comentario — 7/11/2006
jaja2 dice:
www.google.com tiene 12 letras, jajaja los otros 2 caracteres son puntos
Comentario — 1/2/2007
Rumiante dice:
Pero es que ya ni siquiera es que se puedan descifrar por fuerza bruta, sino que ponen unas claves mas simples que el agua: el nombre del hijo o de la amante, la fecha de nacimiento, la matrícula del coche,… cuando no pegan con un adhesivo directamente en la pantalla del ordenador su clave a la vista de todos.
Por supuesto, es la misma que la de la tarjeta de crédito, la del correo electrónico, la de la intranet corporativa y la de la página porno.
Y luego pasan las cosas que pasan. A mi sinceramente lo que me sorprende es que no pasen más.
Comentario — 11/3/2007
black dice:
Ok Boja, tu dices que se pueden desencriptar desde nuestro propio ordenador, y que hasta un principiante lo puede hacer, pero Como se hace????.
Tengo una Base de Datos para un pequeño grupo de mi empresa, pero muchos de nuestros usuarios a pesar de utilizar bases inseguras, las olvidan y luego pasan a preguntar si es posible recuperarlas.
No sé como hacderlo, me puedes hechar una Mano….
Comentario — 30/1/2008