Comments on: Usando Google para crackear passwords

By: samus77

samus77 — Tue, 03 Nov 2009 03:02:43 +0000

AMIGOS AYUDENME QUIERO DECIFRAR ESTE CODIGO MD5
d353ede4f641d46a3cbaf207d27ddd31
POR FAVOR AYUDENME

By: Cómo saber si tu sitio web es vulnerable a técnicas de hackeo usando Google

Cómo saber si tu sitio web es vulnerable a técnicas de hackeo usando Google — Mon, 22 Dec 2008 18:06:04 +0000

[...] nuestras contraseñas al descubierto, cómo el caso de este experto en seguridad que mencionan en FayerWayer: Un experto en seguridad de la Universidad de Cambridge fue hackeado (que ironía) a partir de un [...]

By: Albi

Albi — Thu, 20 Nov 2008 19:06:50 +0000

Hola…Amigos necesito un tip para conseguirme la clave de una cuenta en gmail, ayudenme….gracias!!!! pikos!

By: Usando Google para descifrar Password MD5 | La Comunidad DragonJAR

Usando Google para descifrar Password MD5 | La Comunidad DragonJAR — Mon, 18 Aug 2008 06:07:28 +0000

[...] personas que hablan de la noticia (I II III IV) Tags: Clave • Contrasena • Decifrar • Google • MD5 • Password Si [...]

By: sol

sol — Mon, 21 Apr 2008 17:02:27 +0000

chicos, es muy dificil poder conseguir la contraseña de yahoo? me ayudan??? plis plis

By: Google no respeta la privacidad | Canut & Geek

Google no respeta la privacidad | Canut & Geek — Wed, 28 Nov 2007 14:48:54 +0000

[...] Ya hemos visto como a Google se le escapan contraseñas, censura resultados, castiga a los usuarios de la competencia y guarda todos nuestros datos personales por un amplio periodo de tiempo. [...]

By: Blogueando en Internet: Semana veintisiete » Blogueando con Francesc Josep

Blogueando en Internet: Semana veintisiete » Blogueando con Francesc Josep — Sat, 24 Nov 2007 16:39:39 +0000

[...] Usando Google para crackear passwords [...]

By: hvega

hvega — Fri, 23 Nov 2007 18:44:22 +0000

http://gdataonline.com/seekhash.php

By: Christian

Christian — Fri, 23 Nov 2007 03:01:00 +0000

http://www.md5oogle.com

Interesante el sitio, que quieren que les diga…

By: Decodificar MD5 « WWW.BYNARIO.AR.NU

Decodificar MD5 « WWW.BYNARIO.AR.NU — Fri, 23 Nov 2007 01:30:19 +0000

[...] Otras personas que hablan de la noticia (I II III IV) [...]

By: Eduardo Diaz

Eduardo Diaz — Thu, 22 Nov 2007 15:43:34 +0000

MD5 es un algoritmo que ha sido comprometido desde hace mucho tiempo, ya no se recomiendo su uso.

By: Mr_Trukit0

Mr_Trukit0 — Thu, 22 Nov 2007 05:55:59 +0000

Alguien dijo en otro comentario que deberían “bloquear” ese tipo de búsquedas desde Google. Encuentro que eso sería totalmente absurdo, ya que esas búsquedas son útiles a la hora de comprobar la seguridad de una plataforma, y además sería un modo de “censura”… y censurar sería la solución para el flojo que no quiere hacer que su plataforma sea más segura.

Por otro lado, ese tipo de cosas se pueden evitar, usando un “salt” como dijeron por ahí también. Se trata de “agregar” un valor arbitrario generado en tiempo de ejecución al hash con el fin de alterarlo. El hash se guarda alterado por dicho valor (o bien se utiliza un hash de campos concatenados), y al hacer la comparación se hace la operación inversa sobre el hash, quitándole el valor arbirario que se generó antes o haciendo la comparación con el hashing correspondiente alterado.

El único fin de esas técnicas es proteger la información en caso de que nuestras bases de datos caigan en malas manos, ya que si para generar los hashes se usara la función MD5 conocida sin ningún agregado, los password pueden ser crackeados fácilmente y leídos, con lo cual no sólo se arriesga la seguridad de la propia plataforma, sino que también en el caso de que el usuario utilice la misma password para su correo electrónico, cuenta bancaria u otros servicios, el atacante ganará acceso a ellos también.

By: Mojela

Mojela — Thu, 22 Nov 2007 03:35:51 +0000

Lo peor de todo es que entendi todo lo que dijiste y no se si estar contento o triste.
Ven google tiene siempre la respuesta por suerte para todos.

By: MatiasLobos

MatiasLobos — Thu, 22 Nov 2007 01:54:33 +0000

Pero si sabes programación, o algo de hacking, veras que es facil con Google, muchas cosas son posibles con google. Arriba Los Milw0rneros

By: Disacido

Disacido — Wed, 21 Nov 2007 22:33:23 +0000

Theme Luna Element si no me equivoco

By: Gary

Gary — Wed, 21 Nov 2007 21:13:54 +0000

@rbonvall:

JJajAJja, maestro!, ute tambien me hizo clases de lenguajes de programacion (LP) el semestre pasado y ahora me haces clases de hash!!!, ohh no kiero saber naaa mas despues de no haber pasado hashing lineal en almacenamiento y recuperacion de informacion (ARI)

k gusto saber k el profe rbonvall tb lee FW… saludos!

By: Jose

Jose — Wed, 21 Nov 2007 20:16:51 +0000

Muy interesante en verdad !
Wen post, a ver si algun pesadito reclama ahora que la noticia es añeja

By: rbonvall

rbonvall — Wed, 21 Nov 2007 19:10:42 +0000

@Tricky,
en efecto los detalles son como dices, gracias por la aclaración, aunque en esencia me parece que lo que pasó no es más de lo que digo yo. Lo que hay que rescatar: no hay que estar paranoico porque ahora los h4×0rs van a ocupar Google para craquearnos, simplemente la víctima tenía una clave tonta.

@Memo,
jajaja, buen lugar para reencontrarse Eso de usar Google como un directorio de hashes sí es novedoso, aunque es inútil si se siguen buenas prácticas para guardar passwords. Aquí hay un artículo interesante al respecto.

By: Paquito

Paquito — Wed, 21 Nov 2007 18:18:55 +0000

Esta noticia me da miedo (buscar hash en Google ya es digno de mención pero encima que encuentren una respuesta asusta)…

Impresionante: me ha dejado sin palabras.

Un saludete,

Paquito.
http://paquito4ever.blogspot.com

By: Gon

Gon — Wed, 21 Nov 2007 17:10:39 +0000

la media paja para algo tan simple como borrar el registro de la base de datos…

no era su propia página?

By: frosstatx

frosstatx — Wed, 21 Nov 2007 17:01:41 +0000

Jaja, salieron algunos password mios en google plop y yo pense que erab complicados

By: David

David — Wed, 21 Nov 2007 16:56:56 +0000

para mi fue un owned del “h4×0r”

By: memo

memo — Wed, 21 Nov 2007 16:14:31 +0000

@rbonvall:
jajajajajaja…
El semestre pasado me hiciste clases de LP y ahora me das clases de hashing… jajajajajaja
En todo caso man, hay un pagina que en este minuto nor ecuerdo pero la voy a buscar, dopnde hay una base de datos donde muestra que strings entregan el mismo hash en md5, por lo cual a pesar de que nosotros nos demoremos demasiado en encontrarlo
la información ya se esta acumulando de a poco.
Igual prefiero usar SHA-1 que md5

By: Mikepuffy

Mikepuffy — Wed, 21 Nov 2007 15:46:40 +0000

Hola! Muy buen sitio… Visiten el mio! http://album-base.blogspot.com
El blog más actualizado de la red, cerca de 20 discos por día…
Saludos!

By: Sygrd

Sygrd — Wed, 21 Nov 2007 15:41:10 +0000

rbonvall tu primera explicacion es completamente erronea, no se si no leiste la noticia o no la entendiste, pero lo que comentas no tiene que ver con la nota

By: Sebastian Oliva

Sebastian Oliva — Wed, 21 Nov 2007 15:33:25 +0000

Eso confirma que Salt es cada vez mas necesario para autenticar…

Ya lo habian puesto en Digg, ahora FW solo se la pasa copiando noticias del Digg y Slashdot…. perdon “traduciendolas”…

No lo tomen a mal, solo es que Asplote… (http://uncyclopedia.org/wiki/Asplode)

By: tricky

tricky — Wed, 21 Nov 2007 14:48:14 +0000

@rbonvall, pero en este caso, los ejemplos eran BIEN claros. En el primero pasaba la variable del apellido dentro de la base de datos. En el segundo, estaba asociado al campo Nombre, que era Anthony. Así que es mucho más explicito que tu ejemplo de Garfield.

gracias por la aclaración en todo caso.

By: rbonvall

rbonvall — Wed, 21 Nov 2007 14:37:49 +0000

@Memo:

lo que implica que muuuuuuchos passwords pueden generar el mismo MD5

El hash no es del password, sino probablemente del nombre de usuario. Lo que pasa es que muchos sitios usan el hash en la URL de tu página de usuario. El «hacker» no obtuvo el password directamente del hash: simplemente encontró las páginas de usuario de la víctima en un par de sitios web, y de ahí obtuvo la información para adivinar el password. Podía haber logrado lo mismo consiguiendo información sobre la víctima con su vecino o con su cabro chico. Es como encontrar al fotolog de alguien, ver que tiene imágenes de Garfield, probar a ver si su password es "garfield", ¡y achuntarle! Ningún mérito ni de Google ni del hacker, sino estupidez de la víctima.

es decir puede ser que el password del tipo no haya sido “Anthony” sino solo que ese String generó la misma secuencia de caracteres que el password que ingreso el otro tipo.

Si bien dos textos pueden tener el mismo hash, encontrar uno a partir del otro es extremadamente improbable. Y en criptografía, extremadamente improbable suele significar «te demorarías más que la edad del universo». @Tricky:

Cuando este tipo buscó el string (secuencia) de la clave encriptada

Un hash no es encriptación. Es una transformación de un texto. Probablemente del nombre de usuario de nuestro experto en seguridad.

By: xellos

xellos — Wed, 21 Nov 2007 14:36:27 +0000

la media vendia del weon
siendo un pro de eso
la vendio buena

By: Hernan

Hernan — Wed, 21 Nov 2007 14:11:45 +0000

http://www.md5encryption.com/?mod=decrypt