MySQL almacena las contraseñas de forma insegura
------------------------------------------------

El mecanismo utilizado por MySQL para cifrar las contraseñas en el
momento de almacenarlas no ofrece garantías de seguridad, ya que
mediante fuerza bruta se puede obtener la contraseña en relativamente
poco tiempo.

El problema se encuentra en que las contraseñas, que se almacenan en
una tabla utilizando PASSWORD(), son cifradas de una forma en que
facilitan su descifrado por fuerza bruta a gran velocidad.

Esto puede ser utilizado por un atacante malévolo, con acceso a la
base de datos que contiene las contraseñas, a identificar en periodos
de tiempo relativamente cortos cualquier contraseña. Por ejemplo, una
contraseña de ocho caracteres en cuestión de unas pocas horas.

Debe indicarse, no obstante, que MySQL ofrece otros mecanismos de
cifrado de la contraseña mucho más fuertes.


Más información:

mysqlfast.c
http://packetstorm.linuxsecurity.com...ers/msqlfast.c