1. Inicio
  2. Pregunta y respuesta
  3. ¿Puedes averiguar el esquema de hashing de contraseña?

¿Puedes averiguar el esquema de hashing de contraseña?

2010-06-07 6 views
11

Tengo dos contraseñas y dos hashes resultantes. No puedo entender cómo se deriva el hash de la contraseña. No sé si se usa salazón. No sé si la contraseña está codificada como un valor entero o como una cadena (posiblemente Unicode).¿Puedes averiguar el esquema de hashing de contraseña?

Contraseña: 6770 Hash: c12114b91a3841c143bbeb121693e80b

Contraseña: 9591 Hash: 25238d578b6a61c2c54bfe55742984c1 longitud

El hash MD5 parece sugerir. ¿Alguien tiene alguna idea de lo que podría probar?

Nota: Esto no es para piratear. Intento acceder a un servicio a través de una API en lugar de su cliente de escritorio, y no puedo encontrar la forma de calcular el hash de la contraseña. Actualmente, en lugar de usar mi contraseña real, envío directamente el hash.

Fuente

2010-06-07 Meh

Respuesta

28

googlear esos valores hash (!) Revela que 25238d578b6a61c2c54bfe55742984c1 es el md2sum de "9591" (source), y que tiene otra página web que confirma el mismo para 6770 y su primer valor hash (source2).

(Edit: ya que he buscado en Google un poco de código fuente MD2 y cotejados los hashes.)

(Editado de nuevo para comentar: Usted es muy afortunado de que esta API utiliza un esquema de dispersión tan terrible sin ningún salazón o prefijos! :-))

Fuente

2010-06-07 13:32:37 crazyscot

+10

Un buen recordatorio de cuán malo es el hashing de la contraseña sin sal. –

+1

+1 - En realidad, no pensé en buscar en Google el hash en sí. –

3

La documentación de la API no dice? Extraño.

En principio, este es un problema imposible: cualquier número de algoritmos hash diferentes puede dar los mismos resultados en un número dado de casos particulares, y luego dar un resultado diferente la primera vez que se basa en uno.

En la práctica, sin embargo, probablemente solo puedas probar algunos algoritmos de hash de cifrado comunes y ver lo que te dan. Si uno coincide en algunos casos elegidos al azar, probablemente sea correcto. Una persona malintencionada podría, por ejemplo, reasignar algunos caracteres (cambiar '2' por '3' o lo que sea, no lo detectaría con sus contraseñas de ejemplo) antes de aplicar el algoritmo hash principal, pero es poco probable en aplicaciones reales.

BTW - una contraseña de cuatro dígitos numéricos es casi tan segura como no tener contraseña.

Fuente

2010-06-07 13:42:47 Steve314

Cuestiones relacionadas

 Cuestiones relacionadas