El algoritmo de encriptación md5 y los diccionarios de hackers

No Comments

Funcionamiento

El algoritmo de encriptación md5 es, en teoría, de un solo sentido. Quiero decir que a una entrada determinada le corresponde un y sólo un hash (picadillo) o código resultante del algorirmo y no es posible, en teoría, averiguar qué código información es la que ha producido tal salida.

Es un poco como las máquinas de bolas de los chiquillos, cuando introduces tu moneda, te corresponde una bola en la que no sabes lo que hay dentro, pero si quisieras devolver la bola y obtener el dinero es imposible saber cuál es la moneda del cajetín de monedas que produjo tu bola, pues son todas iguales.

Por ejemplo al caracter ‘a‘ le corresponde el hash0CC175B9C0F1B6A831C399E269772661‘  mientras que para ‘hace mucho calor‘ produce ‘33ACE77682EB9E1EE8C791D2953319BD‘. Al ser caracteres hexadecimales y tener una longitud de 32 en el hash, existen 16³² resultados diferentes. En otras palabras: 3.4028237 x 10³⁸. Yo no creo que haya tantas moléculas en el sistema solar.

En una web ética, donde el programador o la empresa tengan un mínimo de escrúpulos, las contraseñas de los usuarios se guardan en formato md5. Lo que se hace es comparar el md5 de la contraseña en claro que está tecleando el usuario y comparar esa cadena con la que tenemos almacenada. Esto garantiza que nadie de la organización donde esté ubicada esa web puede saber cuál es la contraseña que produjo ese hash.

Debilidades

Así las cosas, el error humano, quizás demasiado humano (si se me permite parafrasear a Nietzsche) de tener siempre la misma contraseña para muchos, cuando no todos los sitios hace que todo ese sistema se venga abajo.

Os cuento, como sabréis 😉 existe una página llamada pordede.com (ahora se llaman repelis.tv) a la que le han hackeado todos los datos de usuarios. Esta web tenía sus passwords de usuarios debidamente codificados en md5, el problema consiste en que existen a la venta en la deep web diccionarios de encriptados md5 y su texto en claro. Por lo tanto, quien se haga con las palabras de paso de una empresa u organización puede buscar en ese diccionario el hash y así, obtener el password que le corresponde.

Cómo evitarlo

  • Para empezar usa una palabra de paso que contenga números, letras y símbolos de puntuación, de no menos de 10 caracteres.
  • Cambia al menos una vez cada dos meses tus contraseñas.
  • NO REPITAS, repito, NO REPITAS contraseñas.
  • No las guardes en medios magnéticos, ni discos duros, ni pendrives ni nada que pueda ser enchufado y/o conectado susceptible de ser leído en un ordenador.
  • Tener una libretita en un cajón en tu casa no es mala solución.
  • Aprende a encriptar tus archivos.
  • Sé paranoico.

Espero haberos servido de ayuda.

Categories: criptografía Tags: Etiquetas: , ,

Deja un comentario