[Resolvido] MD5 - Tirar a criptografia

[xanburzum 169]

faz um sistema de Recuperar e ALterar senhas

[desisto 0]

recuperar senha via email é a coisa mais falha que existe

[Je. Ferreira 0]

Bem galera, estava olhando aqui algumas coisas sobre criptografia e concluí que realmente o md5 pode ser descriptografado. Bem alguns amigos aqui neste mesmo tópico chegaram a citar de trasformar o texto em maiúsculo com o "Ucase(variavel)", verdade que md5 é casesenitive, e exatamente por este motivo que o Ucase não funcionaria. Não cheguei a testar se o md5 poderia ser customizado assim como alguns perguntaram, mais você pode fazer algo deste tipo que é bem mais simples:

 

variavel=md5("Teste")

variavel=left(variavel, 16)&"45"&right(variavel,14)

 

bem pessoal, é bem simples, o valor da variável recebe o valor retornado pelo md5 que neste caso será '8e6f6f815b50f474cf0dc22d4f400725', e logo abaixo ele 'parte' este valor ao meio e acrescenta algo que você queira, no meu caso coloquei o número '45', e li apenas 14 caracteres do final para descontar os 2 do número '45', porque desta forma o resultado final continuará com 32 caracteres o que não gera desconfiança que a sequencia foi alterada, aí se alguém conseguir alguma senha do seu banco não conseguirá descriptografá-la, pois a sequencia de caracteres está incorreta.

Bem, um hacker pode conseguir uma lista de muitas senhas do seu banco de dados, podendo 'cruzar' as senhas e saber que todas possuem algo em comum, que é o número 45. Mais isso não é desanimador, pois ele não saberá quais caracteres estavam no lugar do '45' por isso foi descontado os 2 caracteres.

 

Também pode ser feito desta forma que altera a sequencia de caracteres:

 

variavel=md5("Teste")

 

s1=left(variavel, 14)

s2=Mid(variavel, 14,2)

s3=Mid(variavel, 16,2)

s4=Right(variavel, 14)

 

variavel = s1 & s3 & s2 & s4

 

o md5 de 'Teste' que é:

8e6f6f815b50f4 74 cf 0dc22d4f400725

 

ficará:

8e6f6f815b50f4 cf 74 0dc22d4f400725

 

desta forma, a menos que o hacker consiga ter acesso ao código fonte de seus scripts asp ou trabalhar suado, ele não conseguirá descriptografar suas senhas.

 

Bem, existem milhares de possibilidades mais destas milhares aí tem 2.

 

Até mais pessoal, sei que o tópico foi Resolvido, mais espero ter ajudado em algo.

Abração

[desisto 0]

como descobriu que pode ser descriptografado?

[Je. Ferreira 0]

como descobriu que pode ser descriptografado?

 

Existem estes sites que foram citados que fazem a descriptografia desde que haja um hash correspondente no banco de dados, seus clientes podem usar senhas padrões, como por exemplo: 123456, Teste, root. Enfim coisas óbvias, que poderia ser um alvo.

 

Até mais.

[desisto 0]

mas o Mario fez uma colocação que me parece correta

 

http://forum.imaster...ost__p__1464159

 

 

 

 

uma outra solução que uso é a md5 mais uma chave aleatoria do usuario -> senha+chave

[Je. Ferreira 0]

mas o Mario fez uma colocação que me parece correta

 

http://forum.imaster...ost__p__1464159

 

 

 

 

uma outra solução que uso é a md5 mais uma chave aleatoria do usuario -> senha+chave

 

Exato, se o hash estiver no banco deles poderá ser descriptografado. E o equema de senha+chave, é exatamente o que fiz acima, você pode adicionar algo ao final do hash, porém se você adiciona ao final sem remover nenhum caractere é só o sujeito retirar o que você acrescentou ao final do hash que ele obterá o verdadeiro hash.

 

Abração

[desisto 0]

eu vi seu exemplo acima - mas nao me atentei à sua explicação :)

 

 

 

 

que hipotese você imagina que alguem veja a senha criptografada? sem ser na tbl do banco

 

a unica coisa criptografada são as senhas de acesso, qq outra chave é uma função propria pra gerar a key

 

[]s