Google incentiva il cracking del md5

Martedì 27 Novembre 2007, 19:00 in Exploit, Vulnerabilità, Web/Tech di Davide Denicolo

Differenti volte abbiamo parlato su Exploit dell'algoritmo MD5 usato in molte web application per cifrare la password degli utenti; è anche risaputa la debolezza dell'algoritmo che permette di collidere due hash md5 con un numero ridotto di tentativi.

Negli ultimi giorni un gruppo di esperti di sicurezza si è visto defacciare il proprio sito, non riuscendo ad identificare la fonte di questo attacco.
Lo stesso responsabile del blog Steve Murdoch ha ammesso di aver scoperto che Google è stato in grado di restituire la password in chiaro dell'account "hackato" partendo soltanto dal suo hash.

La verita però, non sta nel fatto che Google è in grado di reversare l'algoritmo, ma nel fatto che sappia indicizzare con molta accuratezza le informazioni del web.

In effetti, il lavoro di crack degli hash md5 richiede un pò di tempo ( molto dipende dalla lunghezza della password usata ) ma esistono siti Internet che si occupano soltanto di questo.

Via | Trackback