Nuevo servicio online para el cálculo de hash inverso SHA-1 y MD5

Buenas,

http://md5.rednoize.com/ tiene una base de datos de sumas MD5 y SHA-1 que se puede consultar online. Este servicio nos permite calcular hashes inversos, es decir, obtener la palabra que genera una suma de control MD5 o SHA-1 terminada. Los algoritmos MD5 y SHA-1 son sumas unidireccionales, es decir, permiten generar una suma a partir de una palabra clave que no es reversible. Sin embargo, si generamos muchas sumas MD5 y SHA-1, y anotamos las palabras que las producen, podemos generar tablas que permitan la búsqueda inversa.

Para probar la calidad de estas bases de datos, lo mejor es calcular la suma de algunas palabras, con creciente dificultad, y ver si la base de datos las contiene. Algunos ejemplos pueden ser:

nas# md5 -s sergio
MD5 («sergio») = 3bffa4ebdf4874e506c2b12405796aa5

Encontrado

nas# md5 -s administrador
MD5 («administrador») = 91f5167c34c400758115c2a6826ec2e3

Encontrado

nas# sha1 -s sergio
SHA1 («sergio») = 6ed32edf4e92ab3c0a4dc6f90242953c344051ad

Encontrado

nas# sha1 -s administrador
SHA1 («administrador») = 9dbf7c1488382487931d10235fc84a74bff5d2f4

Encontrado

Normalmente estas bases de datos hacen aguas ante palabras claves complicadas. Están más bien pensadas para hacer sumas inversas de palabras normales y frecuentes que se usen, por ejemplo, a la hora de almacenar claves cifradas. El ejemplo típico son las aplicaciones PHP+SQL que almacenan las claves de los usuarios en la base de datos en forma de suma. El usuario, cuando se conecta, introduce su clave en texto claro, la cual es convertida en una suma de control que se contrasta contra la base de datos. Si coincide, estamos dentro.

En este tipo de aplicaciones es factible, si el producto es vulnerable, hacerse con un «dump» de la base de datos, y eso nos faculta a coger las sumas de las claves de usuario y pasarlas por calculadoras de hash inverso con la finalidad de descubrir claves. Es uno de los procedimientos típicos en un test de intrusión Web.

Un saludo,

8 comentarios sobre “Nuevo servicio online para el cálculo de hash inverso SHA-1 y MD5

  1. Muy práctico. ¿Cómo se puede evitar el uso de estas herramientas en nuestras propias bases de datos y bajo qué condiciones se pueden explotar?

  2. David,

    La única manera de evitar este tipo de análisis en nuestras bases de datos es proteger el fichero, tabla o registro donde aparezcan las claves cifradas, siempre que éstas estén cifradas en MD5 (raro) o SHA-1 (menos raro)

    Si no sé que «administrador» tiene un hash «9dbf7c1488382487931d10235fc84a74bff5d2f4», no puedo intentar hacer el cálculo inverso.

    Un saludo,

  3. La verdad que estos tipos de encriptaciones asimetricas no requieren de mucho tiempo para dar con el password ya sea utilizando un sitio con una base de datos de hashs como la que publicaste, o corriendo una aplicacion para desencriptar en nuestro sistema.

    Ultimamente se empezo a utlizar colisiones md5 tambien, asi que tampoco no nos podemos confiar de la integridad de los paquetes ya que se pueden generar dos paquetes diferentes con el mismo hash.

    En fin… es un tema largo…

    Te paso otro sitio con una base de datos muy grande para calcular un hash inverso md5 y sha1

    http://md5encryption.com/

    Saludos, muy bueno el sitio

  4. que tan largo puede ser el texto que puedo colocar para que me genere el hash correspondiente

    gracias. Y felicitaciones por la informacion

Comentarios cerrados.