xDD sirve para aprender xDD

Pd. si codificamos una pass en md5, por ejemplo "1" (uno)  [md5(1)]
obtendriamos: c4ca4238a0b923820dcc509a6f75849b
y con un for, directamente se saca

¿Y si volvemos a codificar el hash? es decir md5(md5(1))
obtendriamos:
28c8edde3d61a0411511d3b1866f0636  y al intentar descodificarlo por fuerza bruta, ya NO tendriamos la contraseña, ni una aproximacion ni nada, porque dentro de este hash, existe otro de 32 caracteres, no se si me explico y como md5 no es "diccionario" pues xDD

Codigo original de G2K:

   

$cod = "c20ad4d76fe97759aa27a0c99bff6710"; // resultado:12 xD
set_time_limit(0); // asi puede tardar horas y horas sin dar error xDD
for($n = 1;$md5 = $cod;++$n){
      $md5 = md5($n);
      if($md5 == $cod){
            echo ("Resultado: ".$n);
      }
}


con eso, en pocos segundos, tendriamos el resultado (en este caso es 12), pues para hacer IMPOSIBLE usar ese codigo (hay muchos mas y mas complejos), con hacer x2 md5 ya vale
md5(12) = c20ad4d76fe97759aa27a0c99bff6710
md5(md5(12)) = c8b2f17833a4c73bb20f88876219ddcd

entonces, si ponemos ese codigo para "desencriptar" (ya sabeis xk lo digo entre comillas)... va a ser imposible, porque aunque el resultado final siempre sera 12, al intentar sacar el numero no lo va a conseguir puesto que ya no son 2 numeros, si no es un conjunto de 32 caracteres [numeros y letras]...

no se si me explique bien de nuevo xDD
   

}
}

Si men, eso de aplicar una función varias veces es "alegría de tisico". Mucha gente lo cree, pero en realidad no protege nada, a menos que quien tenga el hash no tenga idea de que funciones aplicaste para tenerlo.

Como bien te ha dicho TLX, todo es poner a crakear con la función correcta y todo será diferencia de milisengudos, pero nada más.

A ver si de esta forma se logra ver.

1.-

Tengo una pass -------> Le aplico MD5 ---------> y tengo el hash

Para revertir eso solo tengo que crakear poniendo MD5 como función y listo.

2.- Si ahora lo hago diferente.

Tengo una pass -------> Le aplico MD5 "X" veces sobre si misma ---------> y tengo el hash

Ahora para revertir, solo tengo que poner a crakear aplicando MD5 X veces y solo eso.

Si conozco que lo que se hace no hay problema.

Míralo de esta forma ¿tienes idea de todos los cálculos que hace MD5 para crear el hash? NO, y eso no importa, porque lo que uno usa para crear el Hash (y para poner a crakear) es la función que YA hace todas esas cuentas que ni idea de cuales y cuantas son.


Repasando este comentario  Tongue

Cita de: Tope en 13 de Abril de 2008, 17:00:43
El codigo ha sido estudiado por decenas de hackers hace mas de 6 meses y aun estoy esperando a que me digan lo que ponia, y eso que les deje el codigo y todo

OMG  Shocked y yo lo hice en 10min, me siento dios en la tierra 

NOTA MOD: Edite sin querer... lo confundi con Responder, suerte de la memoria caché...

Pero hacer eso, es igual de seguro que encriptar X veces con md5, y te ahorra mas tiempo, ya que la "clave" de la seguridad es que NO se sabe cuantas veces encriptaste la contraseña, asi que encriptar mas de 30 veces con un conjunto de BASE64, MD5 y SHA1 es igual de eficaz que encriptar la contraseña menos de 10 veces con MD5, y ademas es mas rapido.

Como ya he dicho, la clave de la seguridad es que el que quiere "atacarnos" mediante fuerza bruta, o lo que sea, no sabe el numero de veces que encriptamos los datos.

Saludos

buenas, q tal todo? vagabundeando por la wikipedia me encontre con un articulo del md5, y me parecio interesante ponerlo aki, pero sobre todo la parte de seguridad que es la que estan tratando en este post.
fuente: http://es.wikipedia.org/wiki/Algoritmo_MD5#Paso_1._A.C3.B1adiendo_bits

articulo:

Seguridad 
A pesar de haber sido considerado criptográficamente seguro en un principio, ciertas investigaciones han revelado vulnerabilidades que hacen cuestionable el uso futuro del MD5. En agosto del 2004, Xiaoyun Wang, Dengguo Feng, Xuejia Lai y Hongbo Yu anunciaron el descubrimiento de colisiones de hash para MD5. Su ataque se consumó en una hora de cálculo con un clúster IBM P690.

Aunque dicho ataque era analítico, el tamaño del hash (128 bits) es lo suficientemente pequeño como para que resulte vulnerable frente a ataques de 'fuerza bruta' tipo 'cumpleaños' (Ataque de cumpleaños). El proyecto de com*****ción distribuida MD5CRK arrancó en marzo del 2004 con el propósito de demostrar que MD5 es inseguro frente a uno de tales ataques, aunque acabó poco después del aviso de la publicación de la vulnerabilidad del equipo de Wang.

Debido al descubrimiento de métodos sencillos para generar colisiones de hash, muchos investigadores recomiendan su sustitución por algoritmos alternativos tales como SHA-1 o RIPEMD-160.


no se si sera verdad o no (supongo que si) pero para nosotros creo q no hay algoritmo alguno mas simple sencillo y util de usar en nuestros scripts.
un saludo