Las contraseñas, en cualquier sitio que se precie, no se guardan en claro, si no que se les aplica una función matemática, que las convierte en una secuencia de caracteres ininteligibles, lo que se llama hash. Esto se hace por seguridad, para que si llegan "los listos" y sacan de la base de datos la tabla de contraseñas, realmente no se hagan con ellas, sino con los hash de estas... que de aquí a sacar la contraseña de verdad, hay un trecho. Esta tabla es la que han robado a linkedin, capón gordo a sus responsables de seguridad.
Para que os hagais una idea, si mi contraseña fuera "Indiana" el hash sería "5d00be2150a7a2970ecf83338644746fe69f68bc".
Esta es una vista real del fichero de contraseñas, publicado en varios sitios como estos:
http://www.mediafire.com/?om8n1o3se1u8m74
http://www.putlocker.com/file/8DA2463354E0FD0F
Bueno, parece que no es tan grave el tema, pero... si nuestra contraseña es fácil, es posible averiguarla a través de su hash. Cambiamos la contraseña de linkedin y arreglado peeeeero.... ojo al que tenga la misma contraseña en varios sitios, como en el correo... ya pinta peor el tema.
Y ahora, después de meter el mínimo miedo necesario, vamos a averiguar si nuestra contraseña ha sido averiguada. Para ello, lo primero bajad el ficherete con los hashes mangados a linkedin.
A continuación, necesitais saber el hash de vuestra contraseña. Vais a la página http://www.tech-faq.com/sha-1-generator (o usais cualquier generador de hashes SHA-1) y en ella generais el hash de vuestra contraseña de linkedin.
Lo que queda hacer es buscar la cadena hash en el fichero de contraseñas, para ver, lo primero, si es una dentro del 5% de las robadas y lo segundo, ver si ha sido crackeada.
Buscad la cadena del hash sin los cinco primeres caracteres. Os recomiendo usar un editor de texto mejor que el notepad del windows, como en notepad++, que es bastante más potente y puede manejar bien un fichero de más de 100 megas.
Si el hash de Indiana es 5d00be2150a7a2970ecf83338644746fe69f68bc, habría que buscar realmente e2150a7a2970ecf83338644746fe69f68bc.
En el fichero, cada línea es el hash es una contraseña, si los primeros cinco caracteres son 00000, quiere decir que la contraseña ha sido sacada a partir de su hash. Peligro gordo y a cambiar esa contraseña por todos los sitios que la useis.
Yo ya he comprobado que el hash de mi password no se encuentra entre los robados. Premio al que encuentre su hash entre los robados, premio gordo al que lo encuentre con los 00000 delante...
Y ahora, como extra, vamos a demostrar como "los listos", son capaces de sacar las contraseñas (al menos las sencillas) usando métodos de fuerza bruta. Y de paso, podéis comprobar si vuestra password está maomenos bien.
Nos vamos a la web crackstation y allí metemos el hash de la contraseña que hemos generado en SHA-1 Generator y allí la ponemos y le damos a que la crackee.
Pues como veis, la palabra Indiana, no es muy buena como password. Si alguien se hace con el hash... podría averiguarla y entrar en los servicios que usemos con ella... a ver cuantos intentos de acceder a mi cuenta con la contraseña Indiana tengo a partir de ahora...
Caminando por el borde del lado oscuro...
Indy
No hay comentarios:
Publicar un comentario