Resultados 1 al 6 de 6

Tema: Desencriptar Contraseñas PHPBB

  1. #1 Desencriptar Contraseñas PHPBB 
    Iniciado
    Fecha de ingreso
    Jul 2009
    Mensajes
    2
    Descargas
    0
    Uploads
    0
    Hola, soy nuevo por aqui y queria plantear una duda, si no es el subforo correcto por favor, movedlo. Gracias.

    El tema es que me gustaria saber como desencriptar contraseñas de un Foro PHPBB, he leido que por defecto estan en md5 o algo asi, y que no se pueden sacar... teneis alguna idea?

    O sino, como hacer para cambiar el sistema de encriptado por otro que si se pueda desencriptar?
    Vaya, cambiar el sistema de encriptado y que todos los users se tengan q loggerar otra vez, y el nuevo sistema recoja las contraseñas automaticamente... no se si se me entiende. xD

    Gracias.
    Citar  
     

  2. #2  
    Moderador HH
    Fecha de ingreso
    Sep 2003
    Mensajes
    1.384
    Descargas
    21
    Uploads
    5
    En realidad las claves no son encriptadas sino que son hasheadas (aunque no existe el verbo hashear en español). La idea es que una funcion hash o resumen, genera una cadena de bits de longitud fija a partir de una cadena cualquiera como entrada, de forma tal que no es posible encontrar la cadena original a partir de la cadena de salida (teoricamente).
    Lo que si se puede hacer, teniendo el hash de la contraseña (es lo que se suele guardar en las bases de datos para permitir o no el acceso a una cuenta), es aplicar la funcion hash a distintas cadenas de entradas hasta que la salida coincida con la cadena hash que tenemos. Esto se puede hacer tomando como entrada cadenas dentro de una lista (ataques por diccionario) o probando todas las combinaciones posibles (fuerza bruta). Para esto suelen haber programas especialmente diseñados, aunque hacer uno no es para nada dificil, lo dificil es lograr optimizarlo al maximo para que pueda verificar un gran numero de claves por segundo.


    Por otro lado para cambiar la forma en que se validan los usuarios tendrias que entender un poco de php y hasta podrias directamente guardar las contraseñas en texto plano.

    De todas maneras creo que hacer algo asi para aprovecharse y robar contraseñas (considerando que mucha gente suele usar la misma contraseña para multitud de situaciones) es eticamente reprobable y hasta podria traerte problemas legales en caso de no avisar a los usuarios adecuadamente.


    Saludos
    - Me desagrada
    - ¿Por qué?
    - No estoy a su altura.
    ¿Ha respondido así alguna vez un hombre?

    Friedrich Nietzsche



    Citar  
     

  3. #3  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    Cita Iniciado por Marchi Ver mensaje
    De todas maneras creo que hacer algo asi para aprovecharse y robar contraseñas (considerando que mucha gente suele usar la misma contraseña para multitud de situaciones) es eticamente reprobable y hasta podria traerte problemas legales en caso de no avisar a los usuarios adecuadamente.
    Justo.

    Aunque avisases estarías contraviniendo la ley. Y las penas por este tipo de delitos son
    bastante importantes. Al menos la LOPD española establece que ni siquiera el administrador tiene derecho a conocer las credenciales de acceso a los datos de carácter personal de los usuarios. Credenciales, por otro lado, igualmente obligatorias.


    “Artículo 93. Identificación y autenticación.
    1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.
    2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.
    3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.
    4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.”


    Salu2

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  4. #4  
    Moderador HH
    Fecha de ingreso
    Sep 2003
    Mensajes
    1.384
    Descargas
    21
    Uploads
    5
    2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.
    Considerando que una gran parte de las contraseñas se hashean con md5, "la identificación de forma inequívoca" es teoricamente imposible, es sabido que se han encontrado varias colisiones ya en este algoritmo.


    El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.”
    Me parece que esto no se cumple de lejos en todos (o casi todos) lados, personalmente tengo mas de una contraseña que no cambio hace mas de 1 año y nunca se me pidio quelo hiciera.


    Saludos
    - Me desagrada
    - ¿Por qué?
    - No estoy a su altura.
    ¿Ha respondido así alguna vez un hombre?

    Friedrich Nietzsche



    Citar  
     

  5. #5  
    Iniciado
    Fecha de ingreso
    Jul 2009
    Mensajes
    2
    Descargas
    0
    Uploads
    0
    Interesante, gracias por la información ^^
    Citar  
     

  6. #6  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    Sí, es cierto que pocas empresas son las que cumplen a rajatabla la LOPD. Supongo que por eso mismo los castigos son ejemplares cuando se incumple la ley descaradamente. Cosa que por otro lado me parece perfectamente legítimo.

    Salu2

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

Temas similares

  1. Desencriptar contraseñas de CMS
    Por hckr en el foro GENERAL
    Respuestas: 7
    Último mensaje: 18-07-2011, 12:58
  2. Respuestas: 5
    Último mensaje: 22-11-2006, 14:23
  3. Desencriptar contraseñas msn-plus
    Por jairon6661 en el foro INGENIERIA INVERSA
    Respuestas: 1
    Último mensaje: 09-08-2006, 05:23
  4. Bug en phpBB 2.0.19
    Por Danger_0 en el foro VULNERABILIDADES
    Respuestas: 0
    Último mensaje: 28-06-2006, 17:59
  5. PHPbb 2.0.6
    Por Prakata en el foro INTRUSION
    Respuestas: 0
    Último mensaje: 02-07-2004, 04:08

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •