From: Carlos (
carlos .en. exea.net)
Date: Tue Mar 09 2004 - 14:18:43 CET
Parece que varias respuestas acerca del MD5 me han llegado
solo a mi,
supongo que será porque cuando le das a "responder",
va directamente al que
escribió erl mansaje , en lugar de ir a la lista como
antes......por si
acaso a alguien le interesa, los reenvío
carlos
Abraham escribió
"no hay manera de sacar la contraseña a partir de su md5...".
Pues si que hay maneras y varias, ya existen varios programas
que crackean
los passwords en md5.
Un saludo
Borja Bravo escribió:
Todo esto es cierto. Y además también sirve
para comprobar la
autenticidad de archivos. Si tienes 40 Mb de datos y quieres
comprobar
que no han sido alterados por terceras personas, calculas la
clave md5 y
si es la misma que da el fabricante pone en la web sabes que
salvo que
se hayan dedicado ha meter muchos textos con pequeñas
variaciones
aleatorias hasta dar con una clave válida,
debería ser bueno. Pero la
gracia es que son necesarios tantos intentos que se
tardaría una
cantidad de tiempo / potencia de computación tan alta
que no merece la
pena hacerlo. Otro asunto es como sabes que tienes el valor
correcto
md5, pero este es un valor mucho más sencillo de
guardar con cuidado.
Notese que en el caso de abajo un usuario malintencionado
podría probar
claves hasta dar con una con el mismo valor md5....pero que
la
probabilidad es tan baja que hace el método
prácticamente tan seguro
como guardar la contraseña.
Por último, me pregunto que ocurre si se extiende el
sistema y todos
usamos la clave md5 de la contaseña o de
"usuario:contraseña" quizás, si
alguien roba la clave md5 puede llevarsela a casa y probar
valores
durante un mes y sacar una contraseña o un par
usuario-contraseña
válido. Ese usuario contraseña sería
valido en cualquier sistema que use
el mismo sistema de autentificación.
En cambio si se hace: md5($mi_dominio . ":" . $user . ":".
$clave) no
sería así. ¿Soy demasiado paranoico? Lo
digo porque, habiendo tantos
PHP_NUKE, tan poco seguros y que todos utilizan los mismos
sistemas, a
lo mejor si cae uno caen todos.
Saludos,
Borja
----- Original Message -----
From: "Carlos" <
carlos .en. exea.net>
To: "Lista PHP" <
php-es .en. lists.php.net>
Sent: Tuesday, March 09, 2004 8:57 AM
Subject: Re: [PHP-ES] Re: Método seguro de
identificación
>
> MD5 es una función de
encriptación, ( aunque en realidad no es
encriptación,
> sino un método de hashing),
que produce una cadena de 32 carácteres
> alfanuméricos a partir de
una palabra o nº dados.
>
> $clave="manolo";
> $clavemd5= md5($clave);
> El valor de $clavemd5 es:
12cdb9b24211557ef1802bf5a875fd2c
>
> Se utiliza para guardar
contraseñas en una DB, de este modo cuando un
> usuario accede, su
contraseña es traducida a md5 y comparada con la
cadena
> almacenada en la DB. Su
función es que si los datos de una DB caen en
manos
> de alguién con malas
intenciones, no hay manera de sacar la contraseña
a
> partir de su md5.
>
> Bueno, yo solo se algo que he
leido, si me equivoco, corregidme.
>
> Saludos
> Carlos
>
>
>
>
> ----- Original Message
-----
> From: "tony" <
gudol .en. lycos.es>
> To: <
php-es .en. lists.php.net>
> Sent: Tuesday, March 09, 2004
12:31 AM
> Subject: [PHP-ES] Re:
Método seguro de identificación
>
>
> > Que es md5, estoy muy
interesado en seguridad.
> >
> > --
> >
> > <
marolijo .en. yahoo.es> escribió en el
mensaje
> >
news:BAECIBLLLOCBJDKGLKGAOEHMHMAA.marolijo .en. yahoo.es...
> > > Hola, estoy probando
distintos métodos de identificación
mediante
> > sesiones.
> > > Conocen de alguno que
este probado (GNU, GPL...) ?
> > > Y que permita utilizar
MD5 en el password?
> > >
> > > gracias por su
tiempo
> > >
> > >
__________________________________________________
> > >
> > > PolNetwork.com
> > > Pol Maresma i
Oliveras
> > >
pol .en. polnetwork.com -
webmaster .en. santpol.org
> > > Creació,
manteniment i allotjament de pàgines Web
> > >
__________________________________________________
> > >
> > > PRIVAT I CONFIDENCIAL -
Aquest missatge i els document adjunts que
pugui
> > > contenir són
confidencials. Si no sou el destinatari del missatge
no
> teniu
> > > permís per
llegir-lo, copiar-lo ni reenviar-lo. Si heu rebut
aquest
> > missatge
> > > per error, siusplau
comuniqueu-ho al remitent retornant el missatge i
> > > esborreu les
còpies del missatge i els seus documents adjunts.
Aquest
> avís
> > > no pot ser
eliminat.
> > >
> > > PRIVATE &
CONFIDENTIAL - This email message and attachments
contain
> > > information that is
confidential. If you are not the intended
recipient,
> > you
> > > are not permitted to
use, copy or distribute the message and
attachments
> > in
> > > any manner. If you have
received this email in error, please inform
the
> > > sender by return email
immediately and delete all copies of the
message
> > and
> > > its attachments. This
notice should not be removed.
> > >
__________________________________________________
> >
> > --
> > PHP Spanish Localization Talk
Mailing List (http://www.php.net/)
> > To unsubscribe, visit:
http://www.php.net/unsub.php
> >
> >
> >
>
> --
> PHP Spanish Localization Talk
Mailing List (http://www.php.net/)
> To unsubscribe, visit: http://www.php.net/unsub.php
>
>
>
-- PHP Spanish Localization Talk Mailing List (http://www.php.net/) To unsubscribe, visit: http://www.php.net/unsub.php
This archive was generated by hypermail 2.1.7 : Fri May 14 2004 - 16:04:35 CEST