Historias
Slashboxes
Comentarios
 

Login Barrapunto

Login

[ Crear nueva cuenta ]

Google como crackeador de contraseñas

editada por Yonderboy el 18 de Noviembre 2007, 11:42h   Printer-friendly   Email story
desde el dept. google-the-ripper
Un pobrecito hablador nos cuenta: «Interesante referencia en Microsiervos de usos inesperados de Google, en este caso como crackeador de contraseñas preguntando al ubicuo buscador por la cadena hash MD5. Según el autor de la entrada original, hay más hashes de los que podría pensarse indexados por Google, no solo porque hay usuarios despistados, sino porque muchos webmasters usan funciones hash para almacenar archivos y poner la salida en la url. La explicación detallada, con un ejemplo, en la fuente en inglés

Este hilo ha sido archivado. No pueden publicarse nuevos comentarios.
Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.
  • No es para tanto

    (Puntos:2, Informativo)
    por Pelandritus (24726) el Domingo, 18 Noviembre de 2007, 12:34h (#983125)
    En realidad no es un método crackeador propiamente dicho. Lo único que hace es buscar el mismo hash en gugel y solo lo encontrará si da la casualidad de que ese hash se ha obtenido de una palabra habitual como un nombre propio o una palabra de diccionario y además alguien ha publicado previamente tanto el hash como la contraseña correspondiente. Es como usar un ataque de diccionario solo que en este caso google hace de diccionario, solo es efectivo si la contraseña la pone alguien que no tiene ningún cuidado a la hora de preservar la seguridad. Con contraseñas de caracteres al azar no tiene ninguna utilidad.
    --
    Impedir que algo deje de ser libre no es coartar su libertad.

    • Re:No es para tanto de sorrill (Puntos:3) Domingo, 18 Noviembre de 2007, 12:44h
    • Re:No es para tanto de Semen-up (Puntos:3) Domingo, 18 Noviembre de 2007, 13:10h
      • Re:No es para tanto de molasar (Puntos:3) Domingo, 18 Noviembre de 2007, 15:18h
      • Re:No es para tanto de Observer (Puntos:2) Domingo, 18 Noviembre de 2007, 14:16h
      • Re:No es para tanto

        (Puntos:5, Informativo)
        por MaGaO (6286) <{magao} {at} {bigfoot.com}> el Domingo, 18 Noviembre de 2007, 16:12h (#983183)
        ( http://barrapunto.com/ | Última bitácora: Lunes, 16 Noviembre de 2009, 23:33h )
        La contraseña no "pasa" por el ordenador del usuario si haces bien las cosas: la forma habitual de identificar a un usuario es pedirle la contraseña en local, aplicar MD5, operar con "nonce", un número aleatorio que el servidor ha entregado junto con la página, y volver a calcular el MD5 del resultado. Así, al posible interceptor de la comunicación le resulta mucho más difícil extraer la clave. Por su parte, el servidor sólo necesita repetir la secuencia de operaciones exceptuando que la suma MD5 de la clave ya la tiene almacenada, por lo que tampoco necesita saberla. De este modo es muy difícil reventar la clave y la suma MD5 no circula ni se almacena en ningún sitio (excepto la base de datos del servidor).

        Incluso más, se puede usar el resultado final como identificación de sesión. Una sesión nueva requiere un nuevo "nonce" por lo que no es posible realizar un ataque de repetición. Si tu miedo es que te secuestren la sesión quizá te baste con cambiar cada poco el identificador de sesión durante la misma.

        Por último, ¿cuál es el problema de requerir al usuario identificarse al empezar cada sesión? Es lo menos que hay que hacer, creo yo.

        --
        Marcos (cualquier parecido con la coincidencia es pura realidad)
        [ Padre ]
      • Re:No es para tanto de Semen-up (Puntos:2) Domingo, 18 Noviembre de 2007, 17:01h
      • 1 respuesta por debajo de tu umbral de lectura actual.
  • por logongas (24223) el Domingo, 18 Noviembre de 2007, 17:50h (#983219)
    ( Última bitácora: Martes, 24 Junio de 2008, 20:44h )
    El método de generar el MD5 para guardar las contraseñas como ya se ha comentado es bastante ingenuo.

    Aqui teneis un articulo que habla sobre como hacerlo y poco mejor: How to encrypt user passwords [jasypt.org]

  • por NabLa (7064) el Lunes, 19 Noviembre de 2007, 09:13h (#983341)
    ( http://barrapunto.com/ )
    Es algo que he hecho muchas veces cuando he necesitado entrar como un cliente a una web y estaba demasiado perro como para copiar el MD5 de su contrasenia, cambiarlo por otro y luego restablecerlo. Para evitar que esto pase quiza convendria, cuando se cree un nuevo pasguor para un usuario, chequearlo contra un diccionario y denegar el uso de esa clave en particular si la busqueda es positiva.
    --

    NabLa

    No te dije que sería fácil. Te dije que sería la verdad.
  • 2 respuestas por debajo de tu umbral de lectura actual.