La codificación de las contraseñas del foro

dimitrix · 27 Mayo 2011, 20:07 PM

Me gustaría saber (por curiosidad), si la contraseña que teneis de nuestros usuarios están guardada en SHA1 como guarda SMF o si por más 'seguridad' está en otra codificación creada por vosotros.

La razón del problema de SHA1 es que existe 10.000 aplicaciones ya sea por diccionario o fuerza bruta.

Y no estaría mal que si hay un robo de la base de datos pues no esté en SHA1 (por que siempre acaba ese archivo publicado en un torrent xD

el-brujo · 27 Mayo 2011, 20:22 PM

están en el sistema que usa SMF por defecto, pero el "salt" que viene por defecto está cambiado. Con lo que con lo que con obtener la base de datos no es suficiente, debes también conocer-saber el salt para poder descifrar la contraseña.

dimitrix · 27 Mayo 2011, 20:33 PM

Ok, gracias.

WHK · 27 Mayo 2011, 21:13 PM

Los hashses que generan los sistemas online de crackeos con enormes bases de datos con hashses son solo diccionarios que han sido convertidos a md5 o sha1 porque no puedes agregar palabras al azar a menos que intentes encontrar una colisión, 1 en 100000000 o más.

Es lo mismo que en todos lados... si tienes una contraseña segura nadie te la robará, además el atacante necesitaría tener tu hash y eso es muy muy dificil porque todo está diseñado para que no lo puedas obtener a menos que sea atraves de alguna inyección sql ya que ni si quiera te dan el hash en la cookie sino que es un hash compuesto entre tu hash y el salt tal como lo hacen en wordpress, joomla, drupal, phpbb, vbulletín, etc etc.

Es muchisimo mas factible que alguien te robe tu cuenta del foro obteniendo tu cookie a que alguien entre en la base de datos, obtenga tu hash y lo intente crackear ya que para entrar al foro no necesitas descifrar nada, basta con poner dicha cookie robada en tu explorador y ya.

dimitrix · 27 Mayo 2011, 21:16 PM

WHK no lo decía por mi cuenta en general, lo decía por si un día alguien se aburre y roba la db del foro.

WHK · 29 Mayo 2011, 08:08 AM

alguien que robe la db del foro lo único que ganaría es tener acceso a la cuenta del foro de alguien nada mas hasta que nos demos cuenta y cambiemos el salt de todas las cuentas con una sola query sql en menos de 5 segundos.
pero hacer desmadres en el foro no creo porque siempre hay backups. además han pasado caso 9 años? que tiene vida el foro y aun nadie ha tocado la base de datos.

skapunky · 29 Mayo 2011, 22:46 PM

Algún osádo a alardeado de tener la base de datos del foro, inclúso diciendo y convenciendo a otros usuarios de que era cierto. Esto ya hace un tiempo, pero como el tiempo pone cada cosa en su lugar, algún@/s fue enviado a la "kaka" para decirlo de forma suave.

Curioso, pensé que SMF usava MD5. Siempre uno va a dormir aprendiendo algo nuevo

.:UND3R:. · 1 Junio 2011, 20:16 PM

Por duda y para no abrir otro post, se ha alguna vez hackeado elhacker, no me refiero a los típicos DDOS si no a algo más compremetedor como lo es la base de datos o el servidor

~ Yoya ~ · 1 Junio 2011, 22:10 PM

lee la historia de elhacker

.:UND3R:. · 2 Junio 2011, 00:55 AM

bastaba con decirme si o no y luego dar la referencia $:-\$