Desencriptar Contraseñas PHPBB

[Lolitacon]

Hola, soy nuevo por aqui y queria plantear una duda, si no es el subforo correcto por favor, movedlo. Gracias.

El tema es que me gustaria saber como desencriptar contraseñas de un Foro PHPBB, he leido que por defecto estan en md5 o algo asi, y que no se pueden sacar... teneis alguna idea?

O sino, como hacer para cambiar el sistema de encriptado por otro que si se pueda desencriptar?
Vaya, cambiar el sistema de encriptado y que todos los users se tengan q loggerar otra vez, y el nuevo sistema recoja las contraseñas automaticamente... no se si se me entiende. xD

Gracias.

[Marchi]

En realidad las claves no son encriptadas sino que son hasheadas (aunque no existe el verbo hashear en español). La idea es que una funcion hash o resumen, genera una cadena de bits de longitud fija a partir de una cadena cualquiera como entrada, de forma tal que no es posible encontrar la cadena original a partir de la cadena de salida (teoricamente).
Lo que si se puede hacer, teniendo el hash de la contraseña (es lo que se suele guardar en las bases de datos para permitir o no el acceso a una cuenta), es aplicar la funcion hash a distintas cadenas de entradas hasta que la salida coincida con la cadena hash que tenemos. Esto se puede hacer tomando como entrada cadenas dentro de una lista (ataques por diccionario) o probando todas las combinaciones posibles (fuerza bruta). Para esto suelen haber programas especialmente diseñados, aunque hacer uno no es para nada dificil, lo dificil es lograr optimizarlo al maximo para que pueda verificar un gran numero de claves por segundo.


Por otro lado para cambiar la forma en que se validan los usuarios tendrias que entender un poco de php y hasta podrias directamente guardar las contraseñas en texto plano.

De todas maneras creo que hacer algo asi para aprovecharse y robar contraseñas (considerando que mucha gente suele usar la misma contraseña para multitud de situaciones) es eticamente reprobable y hasta podria traerte problemas legales en caso de no avisar a los usuarios adecuadamente.


Saludos

[j8k6f4v9j]

De todas maneras creo que hacer algo asi para aprovecharse y robar contraseñas (considerando que mucha gente suele usar la misma contraseña para multitud de situaciones) es eticamente reprobable y hasta podria traerte problemas legales en caso de no avisar a los usuarios adecuadamente.

Justo.

Aunque avisases estarías contraviniendo la ley. Y las penas por este tipo de delitos son
bastante importantes. Al menos la LOPD española establece que ni siquiera el administrador tiene derecho a conocer las credenciales de acceso a los datos de carácter personal de los usuarios. Credenciales, por otro lado, igualmente obligatorias.


“Artículo 93. Identificación y autenticación.
1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.
2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.
3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.
4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.”

Salu2

[Marchi]

2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.

Considerando que una gran parte de las contraseñas se hashean con md5, "la identificación de forma inequívoca" es teoricamente imposible, es sabido que se han encontrado varias colisiones ya en este algoritmo.

El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.”

Me parece que esto no se cumple de lejos en todos (o casi todos) lados, personalmente tengo mas de una contraseña que no cambio hace mas de 1 año y nunca se me pidio quelo hiciera.


Saludos

[Lolitacon]

Interesante, gracias por la información ^^

[j8k6f4v9j]

Sí, es cierto que pocas empresas son las que cumplen a rajatabla la LOPD. Supongo que por eso mismo los castigos son ejemplares cuando se incumple la ley descaradamente. Cosa que por otro lado me parece perfectamente legítimo.

Salu2