Comunidad de diseño web y desarrollo en internet online

Desencriptar MD5

Ir a página 1, 2  Siguiente

Foros de discusión > General

Citar            
MensajeEscrito el 17 May 2006 10:17 pm
Saludos

Siempre he encriptado los passwords de las bases de datos online que he hecho con el algoritmo MD5 de PHP, navegando un poco por la web me encontre con esta pagina:

http://md5encryption.com/

La cual tiene la funcion de encriptar y desencriptar una cadena MD5.

Hasta donde yo sabia no se podía desencriptar una cadena MD5, pero parece ser que si, encripte una cadena de texto y me devolvió su MD5, pero tomé un password de mi base de datos (encriptado) y lo pegué en el inputbox para que me lo desencriptara y no pudo (lo cual me alegro), pero me quedé con la duda si este es un buen metodo para proteger información.

Por H3r3j3

290 de clabLevel

1 tutorial

Genero:Masculino  

Desarrollador Multimedia

firefox
Citar            
MensajeEscrito el 18 May 2006 02:33 am
MD5 es un metodo de un solo camino. No es decifrable.

Se puede atacar usando fuerza bruta, (Es decir, probando todas las opciones posibles), pero nada más.

Hay un ataque especial de colisiones combinado con fuerza bruta, pero aún (Por lo menos) no acaba con MD5 al 100%.

MD5 es seguro.

Por Freddie

BOFH

53 tutoriales
597 articulos
43 ejemplos

Genero:Masculino   Admin

Conserje de Cristalab

firefox
Citar            
MensajeEscrito el 18 May 2006 09:13 am
Mira lo que dice wiki :o

Busqueda de MD5 en Wikipedia escribió:

ciertas investigaciones han destapado vulnerabilidades que hacen cuestionable un futuro uso del MD5. El 17 de Agosto del año 2004 Xiaoyun Wang, Dengguo Feng, Xuejia Lai y Hongbo Yu anunciaron que habían descubierto colisiones de hash para MD5. Su ataque sólo llevó una hora de cálculo con un clúster IBM P690.

Aunque el ataque de Wang era analítico, el tamaño del hash (128 bits) es suficientemente pequeño para poder contemplar ataques de 'fuerza bruta' tipo 'cumpleaños'. MD5CRK era un proyecto distribuido que comenzó en Marzo del 2004 con el propósito de demostrar que MD5 es inseguro encontrando una colisión usando un ataque de 'fuerza bruta', aunque acabó poco después del aviso de Wang.

Debido al descubrimiento de un método fácil para generar colisiones de hash, muchos investigadores recomiendan otros algoritmos tales como SHA-1 o RIPEMD-160, para ser usados en lugar de MD5.

Por Mania

Claber

1716 de clabLevel

3 tutoriales
2 articulos

 

Astrub

firefox
Citar            
MensajeEscrito el 18 May 2006 09:30 am
jajaj esa pagina me suena a puro truco. La idea es que tu ingreses posibles contraseñas que puedan ser capturadas por la bd del sitio. Entonces guardan la palabra que introduces y su MD5, luego si alguien la consulta nuevamente GEnial!! tieneen las respuestas. Asi loigran conseguir pares que hagan más facil la busqueda de fuerza bruta.

Cuidado con lo que introducen en la plagina. Saludos y no caigan en trucos, sean criticos con la infromacion que leen en internet.

Por colaborame

50 de clabLevel



Genero:Masculino  

firefox
Citar            
MensajeEscrito el 18 May 2006 03:14 pm
gracias por las respuestas

ya estoy más tranquilo :)

Por H3r3j3

290 de clabLevel

1 tutorial

Genero:Masculino  

Desarrollador Multimedia

firefox
Citar            
MensajeEscrito el 18 May 2006 05:05 pm

colaborame escribió:

Asi loigran conseguir pares que hagan más facil la busqueda de fuerza bruta.


Eso es como crear un diccionario "social", algo jodidamente inutil, no hay nada como la "Auténtica Fuerza Bruta(r)" la que es sistemática y funciona en el 100% de los casos (a menos que mueras antes)

¿Por qué es inútil? bueno, por MUY grande que fuera su base de datos sólo habría palabras que los usuarios metiesen, palabras "más o menos" usuales, y que con algunos trucos puedes protegerte de sistemas como ese. Por ejemplo con la sustitución de B en vez de V o J en vez de G. una contraseña como "dabid" o "jiralda" se le ocurriría a pocas personas, más aún si la alternamos con mayúsculas y minúsculas DaBiD, DABid, etc etc no hablo de la inclusión de números como por ejemplo DaB38id, quién carajos pondría esa contraseña?!?! Seguro que estaría esa contraseña en su DB?

Si fuera un proceso automático el que metiese las contraseñas (lo dudo porque "aaaaaa" no está en la DB) Entonces tendría una SUPER-DB con alrededor de 64^4+64^5+64^6+64^7+64^8+64^9+64^10+... hasta 64^N, donde N es la longitud de la contraseña que queremos buscar (si, imagine que una contraseña de 4 dígitos es lo mínimo que se podría pedir) entreténganse en calcular el número de posibilidades para contraseñas de 10 dígitos (64^10). Verán que es muy jodido, entre tantos campos atender a las consultas de una web de forma eficiente.Lo único que te ahorraría varios días de computación, pero lo veo inviable a menos que posean un super-servidor

Una nota, la propia página te miente, diciendo que tienen un MD5|SHA1 decrypter, lo que es ilógico sabiendo que MD5 no se puede desencriptar, sólo atacarle por fuerzas bruta.



SI MD5 y SHA1 son inseguros (actualmente TODOS los métodos de encriptación son inseguros frente ataques de fuerza bruta), ¿como podemos protegernos? Bien, no hay que temer, habría DOS formas de poder sufrir un ataque, una es de forma directa, intentando entrar en nuestra cuenta mediante el navegador|otra_cosa, para liberarnos de este ataque, tendríamos que meter en nuestras funciones de logueo, un mini-script que cada 3,5,7( o los que se deseen) intentos, no acepte más intentos por un periodo de tiempo, por ejemplo 10 minutos, si cada 3 intentos lamáquina atacante ha de parar 10 minutos sólo realizará 18 intentos en 1 hora, frente a los 64^10 necesarios para descifrala...(suponiendo una contraseña de 10 dígitos y que el atacante supiera la longitud de nuestra contraseña), se muere antes.
Para el otro tipo de ataque, tendrían que tener nuestra Base de Datos, la podemos proteger cambiando las carpetas por "default" de los sistemas, por ejemplo NO utilizar tudominio.com/phpMyAdmin y cosas así, pues si se detecta una vulnaverabilidad ZAS!, en cambio si lo tenemos todo fuera del public_html, o incluso en tudominio.com/Ami37Fg dificilmente puedan acceder a nuestras DB. Para el administrador, establecer una "contraverificacion", por ejemplo usar una tarjetita con 100 números en distintas posiciones, todos ellos encriptados en la DB, de manera que al entrar nos pida el número de una posición aleatoria, eso multiplicaría por 100 el número de cuentas a realizar... y es relativamente sencillo de implementar.
Cambiando las contraseñas con frecuencia y algunos tips más hay por ahí[/u][/flash]

Por _CONEJO

BOFH

7639 de clabLevel

17 tutoriales
21 articulos

 

clabbrowser
Citar            
MensajeEscrito el 19 May 2006 06:38 am
jajaa, medio testamento. Pero yo sigo creyendo que generando una base de datos con los pares "palabra" y encripacion, se podria utilizar, por lo menos en su sitio para "adivinar contraseñas". por ejemplo

pongan esa clave MD5 para que la "desencrypte"

eb8f49de4414347817ace52556eb700f


y se encontraran con que les entrega un lindo "circuitocerradodetelevision"

y como lo hizo?? porque yo probe encryptando la palabra en sesa misma página y despues consultando su md5, tonces no creo no esten guardando los datos.

Bueno quizas erré en decir que para hacer más fácil el trabajo de Fueza Bruta, pero de que se puede utilizar, se puede . Más de algun incauto puede que ponga su contraseña para ver si realmente es tan insegura esta cosa.

Aun que no sube mucho el grado con que pueda aportar, creo que cualqueir ayuda al método de fuerza bruta puede aportar. porque si vamos a probar con todas las palabras para averiguar una palabra, por que no probar con las que tengo guardada en la base de datos generada por esa página, si finalmente puede que casualmente la palabra que busco sea comun y la pueda haber introducido alguien.

Saludos ...

Por colaborame

50 de clabLevel



Genero:Masculino  

firefox
Citar            
MensajeEscrito el 19 May 2006 03:13 pm

colaborame escribió:

porque si vamos a probar con todas las palabras para averiguar una palabra, por que no probar con las que tengo guardada en la base de datos generada por esa página, si finalmente puede que casualmente la palabra que busco sea comun y la pueda haber introducido alguien.


Creeme, si vas a "juakear" un sitio web no recurres a una página que hace lo mismo que un miniscript de PHP pero de forma manual, incluso, como ya dije, aunque pudieras engancharte a algún webservice o similar, dejarías MUCHAS (muchisimas) posibilidades sin cubrir, lo que lo hace altamente inefectivo, ya que si no se "desencripta" la contraseña, tendrías que utilizar un proceso automático

Suponiendo una DB con 100.000.000 (cien millones) de contraseñas (pares) la "probabilidad"(bruta, sin contar que las contraseñas se suelen elegir con cierto sentido "humano") de acertar (y solo mirando el caso de que se supiera que la contraseña tuviera 10 carácteres) sería de 8.67E-11, es decir
0.0000000000867

El número de casos totales para contraseñas de 10 cifras es de 1.152.921.504.606.846.976
1.1 TRIllones (de los europes, no de los americanos).


¿Aún creen posible atacar algo "serio" con un diccionario de varios cientos de palabras?

Conclusión, los diccionarios apestan, y MD5 es "seguro" a menos que seas el punto de mira de alguien con muuuuuucho tiempo libre y un super ordenador en su casa :)

Por _CONEJO

BOFH

7639 de clabLevel

17 tutoriales
21 articulos

 

clabbrowser
Citar            
MensajeEscrito el 19 May 2006 03:24 pm
sip, todavia sigo pensando que es posible usarlo. Dejando de lado en cuanto podría ayudar a la búsqueda , sigo firme en mi posición de que es posible usarlo. Y sigo insistiendo en que el objetivo de la página es simplemente obtener las palabras que la gente introduce, ¿para qué? ni idea, pero de que estan guardando la información, la estan gardando.

Saludos

Por colaborame

50 de clabLevel



Genero:Masculino  

firefox
Citar            
MensajeEscrito el 19 May 2006 05:57 pm
Derribar un Helicóptero Apache es posible a base de pedradas, posible es.
También puedes intentar erosionar la pared soplando para entrar en la casa del vecino, posible es.


También podrían guardar tu IP y que contraseña pusiste para atacarte, por lo general, mucha gente deja "root" como el usuario de su servidor http|sql|todo el sistema y suele utilizar las mismas contraseñas. Si tu metiste tal o cual contraseña podrían enviarte un par de ataques a ver si hubo suerte.

NO dudo de que el sistema funcione o no, solo de que no es "rentable" (ni por asomo, ya lo vieron) el utilizarlo

Por _CONEJO

BOFH

7639 de clabLevel

17 tutoriales
21 articulos

 

clabbrowser
Citar            
MensajeEscrito el 20 May 2006 03:42 pm
don't feed...

Por fael

BOFH

2443 de clabLevel

3 tutoriales
2 articulos

 

firefox
Citar            
MensajeEscrito el 20 May 2006 06:34 pm
emmm simplemente nada es 100% seguro... solo es posible de ponerle mas obstaculos a los juakers... pero todo sistema es vulnerable, si quieres preguntale a los dueños de los bancos :P

saludos

Por Maikel

BOFH

5575 de clabLevel

22 tutoriales
5 articulos

Genero:Masculino   Team Cristalab

Claber de baja indefinida

firefox
Citar            
MensajeEscrito el 26 May 2006 01:03 am
Me viene una duda a la cabeza, hay foros.. muchos.. que permiten el envio de contraseña por email en caso de olvido de la misma. Bueno, es evidente; ¿es la bd la que desencripta, o esto es md4, o la contraseña simplemente No esta encriptada?

Saludos

Por theblabla

10 de clabLevel



 

firefox
Citar            
MensajeEscrito el 26 May 2006 01:11 am
theblabla no se desencripta, lo que se hace es algo como esto:

passwordNew = generarPassword();
passwordNewEncriptada= MD5(passwordNew);
insertar_en_bd(passwordNewEncriptada);
envio_mail(passNew)
y para saber si el password es correcto en la parte de logueo es asi:

password= passwordingresadaporelusuario;
passwordMD5 = MD5(password);
si (passwordAlmacenada = passwordMD5)
inicia sesion
sino
contraseña incorrecta

---------------------------
basicamente en la base de datos se almacena y mantiene encriptada, cuando necesitas hacer algun logueo, pues lo que ingresa el usuario lo encriptas y si las encriptaciones corresponden es porque es la contraseña correcta.

saludos

Por Maikel

BOFH

5575 de clabLevel

22 tutoriales
5 articulos

Genero:Masculino   Team Cristalab

Claber de baja indefinida

firefox
Citar            
MensajeEscrito el 26 May 2006 01:15 am
hola, juer me ha impresionado la rapidez!

encontre esto :P

MD5 se utiliza también para que cuando un usuario olvida su password, si quiere recuperar la contraseña se le pide que introduzca por ejemplo el correo, y se le envía un mail con una URL tal que si entra en ella genere una nueva contraseña que se le indica al usuario y se reescribe en md5 en la base de datos (borrando la anterior contraseña).

si es que la luz siempre me llega tarde

Gracias!

Por theblabla

10 de clabLevel



 

firefox
Citar            
MensajeEscrito el 26 May 2006 02:03 am
esto de arriba nunca lo he visto....

Por fael

BOFH

2443 de clabLevel

3 tutoriales
2 articulos

 

firefox
Citar            
MensajeEscrito el 26 May 2006 02:43 am
Bueno puede ser q no lo hayas visto, pero es una opcion para un usuario que ha olvidado la contraseña y quiere seguir con la misma cuenta. La cosa.. como dije antes, es que no habia caido en como resolver ese problema (el de olvido de contraseña) y ese es un buen método.

Na q mis bombillas estan fundidas :P

y si quieres ver el articulo: http://php.ciberaula.com/articulo/encriptacion_md5_php/

Por theblabla

10 de clabLevel



 

firefox
Citar            
MensajeEscrito el 26 May 2006 02:56 am
cierto que el metodo ese de la url al correo y que luego meta otra pass es raro, pense q el articulo se referia a crear un pass temporal como decia maikel. lo lei un poco rapido
bb

Por theblabla

10 de clabLevel



 

firefox
Citar            
MensajeEscrito el 26 May 2006 10:56 am
no, maikel no decía de crear un pass temporal, si no de que, al solicitar una nueva contraseña, ésta se sobreescribe en la DB y te la envían, un sistema que te puede devolver la contraseña tal cual la introduciste NO es para nada seguro, ya que no encriptan sus contraseñas.

Por _CONEJO

BOFH

7639 de clabLevel

17 tutoriales
21 articulos

 

firefox
Citar            
MensajeEscrito el 13 Jun 2006 01:31 am
"desencripten" c41734dd570aff1cee28fe5a160fa041 en el sitio ese, ahí está mi respuesta ^^

Por Alan

470 de clabLevel

2 tutoriales

 

firefox
Citar            
MensajeEscrito el 13 Jun 2006 01:55 am
JAJJAJAJ, wena medio nuevo jajaaj me rei mucho

Por colaborame

50 de clabLevel



Genero:Masculino  

firefox
Citar            
MensajeEscrito el 24 Jun 2006 06:32 am
Claro que se puede desencriptar MD5, por cuestiones de lógica...

trata de hacer esto

md5('hola');

repite el código mil veces, y las mil dará el mismo resultado.

Lo que me parece es que a la gente basta con que le digas 'no se puede, es una sola vía' para que se la tragen toda...

Las encriptaciones de una vía NO devuelven el mismo resultado siempre.

¿ Quién sabe cómo desencriptarlo ?

El que lo creo, sólo él, esa es la respuesta, pero de que existe una forma de hacerlo ni duda queda.

Por cierto esa página no es más que una farsa... cualquier persona con 2 dedos de frente lo sabe.
Además lo está diciendo jajaja

'Sorry, we could not find a matching decryption.'

Quiere decir que no encontró coincidencias con LIKE de SQL, qué basura.

Por mandm

0 de clabLevel



Genero:Masculino  

firefox
Citar            
MensajeEscrito el 24 Jun 2006 08:23 am

mandm escribió:

Lo que me parece es que a la gente basta con que le digas 'no se puede, es una sola vía' para que se la tragen toda...

Las encriptaciones de una vía NO devuelven el mismo resultado siempre.

¿ Quién sabe cómo desencriptarlo ?

El que lo creo, sólo él, esa es la respuesta, pero de que existe una forma de hacerlo ni duda queda.


Si las encriptaciones de sólo ida no devuelven el mismo resultado siempre, meten algo aleatorio en el algoritmo, lo que puede pasar es que al meter la contraseña correcta te arroje un resultado falso...

Por favor INFORMATE antes de hablar, las encriptaciones de sólo ida siempre dan el mismo resultado y NO no se pueden desencriptar (no como tal, ya lo dijimos), es cuestión de pura matemática

Por _CONEJO

BOFH

7639 de clabLevel

17 tutoriales
21 articulos

 

clabbrowser
Citar            
MensajeEscrito el 24 Jun 2006 04:36 pm
conejo, don't feed.
alguien que le ponga etiqueta a este tipo? (se la merece)

Por fael

BOFH

2443 de clabLevel

3 tutoriales
2 articulos

 

firefox
Citar            
MensajeEscrito el 25 Jun 2006 01:36 am
que pesado, la disución estaba en buenos terminos ... no se que son las etiquetas pero si es por lo desatinado de su respuesta se la merece

Por colaborame

50 de clabLevel



Genero:Masculino  

firefox
Citar            
MensajeEscrito el 18 Dic 2007 04:00 am
bueno un poco tarde pero la página http://md5encryption.com/ es un fiasco, en php cree varias claves y no me desencripto ninguna a menos que escriba algo como "hola", "what" pero prueben con esto: "ede54b534b860cc8455bdbe95f6d114f" veamos si puede jajajajaja... es una frase tan estúpida y la respuesta del sitio es: "Sorry, we could not find a matching decryption." y así probé con varias y nomas no jala el mentado sitio "NO SE DEJEN ENGANIAR" JAJAJAJAJAJAJAJ

Por elmortega

0 de clabLevel



 

firefox
Citar            
MensajeEscrito el 19 Dic 2007 05:33 pm
El MD5 es seguro, es encriptacion de una via, se hace con algoritmos matematicos y bla bla por lo que es imposible desencriptarlo.
Actualmente, la fuerza bruta (prueba y error) es el unico medio para "desencriptarlo", pero como dice el conejo, necesitas una gran pc y mucha paciencia.

Este post me parecio muy bueno, creo que la insistencia en que no es seguro el MD5 genero buenas cosas a la ves que me informo de otras. Muchas veces intentar demostrar que algo no sirve te lleva a generar ideas que sirven para otras cosas y te llevan a demostrar que sirve. Se usa mucho en matematica, demostracion por absurdo.

Por Dientuki

Claber

2021 de clabLevel

11 tutoriales
1 articulo

Genero:Masculino   Héroes

Front-end Ninja

firefox
Citar            
MensajeEscrito el 19 Dic 2007 05:41 pm
Bueno, actualmente existen "rainbow tables" que contienen los hashes de MD5 y SHA1 de muuuuuuchas palabras de diccionario, por lo que el ordenador potente no es tan necesario, si no más bien suerte de que las tablas sean más o menos completas.

Por _CONEJO

BOFH

7639 de clabLevel

17 tutoriales
21 articulos

 

firefox
Citar            
MensajeEscrito el 19 Dic 2007 10:07 pm
Es que el md5 hay que saberlo usar. De esta forma todos sus diccionarios simplemente se joden y tienen la grandiosa posibilidad de 0%. Solamente agreguen una palabra especial a sus encripciones y vuelvan a pasar el MD5, esa palabra secreta solo la deben saber ustedes obviamente.

Código :

md5("SEJODEN" . md5("Password") );



Saludos

Por Dano

BOFH

4273 de clabLevel

14 tutoriales
4 articulos
10 ejemplos

Genero:Masculino   Bastard Operators From Hell Premio_Secretos

Lugar estratégico para vigilarte

firefox
Citar            
MensajeEscrito el 10 Sep 2009 05:59 am
Gente, soy muyyy nuevo en esto, pero creo tener la posibilidad de entender ciertas cosas, mi pregunta es la siguiente y por eso acudo a uds, entiendo lo de md5 y hash ahora lo que no entiendo es como hacen uds para obtener una contraseña ej:45435abjj54454353jjhjhg4535, es decir de donde sale eso????, por ejemplo en una cuenta de hotmail, se usa algun programa?¿ Desde ya muchas Gracias!!!
PD: Quisiera saber de donde sale pero amen de eso, claro esta que NO sea mi contraseña, sino de otro....

Por elhombregris

0 de clabLevel



 

firefox
Ir a página 1, 2  Siguiente
Foros de discusión > General

 

Cristalab BabyBlue v4 + V4 © 2011 Cristalab
Powered by ClabEngines v4, HTML5, love and ponies.