Por @Alvy — 18 de Noviembre de 2007

Google as a password cracker explica una forma de romper contraseñas en versión niños-de-cuatro-años-podrían-hacerlo. Se aplica cuando se tiene el hash de la contraseña pero no es fácil probar un diccionario completo contra ella, por ejemplo en muchos sistemas de login o identificación.

Un hash es una función que convierte o «resume» una contraseña o un documento en un número más corto: es una función fácil de usar en un sentido pero no en el otro (es imposible recuperar el original a partir del número hash con certeza, aunque sirve para verificar que una contraseña es correcta, entre otras cosas). Esas funciones se diseñan de modo que sea muy difícil que contraseñas distintas tengan hash iguales, aunque a veces sucede.

¿El truco para romper esos hashes? Preguntar a Google.

Por ejemplo para 20f1aeb7819d7858684c898d1e98c1bb resulta que la búsqueda en Google devuelve algunas páginas, incluyendo una de genealogía sobre el nombre «Anthony». Resulta que ese es el hash de una función concreta para la palabra Anthony. Resultó ser la contraseña de un usuario de un blog de Wordpress que hackearon hace unos días.

Por alguna razón el webmaster de la web sobre genealogía añadió a las palabras de su web el hash de éstas en la ruta en que se guardan (hay quien lo hace también con otros textos o imágenes). Algo aparentemente inocuo, excepto porque la función es la misma que en WordPress según parece, y si se busca desde Google y se tiene la suerte de que coincidan porque la contraseña era fácil… ¡Premio!

Moraleja: conviene usar contraseñas un poco más complicadas, con palabras que no estén en ningún diccionario.

(Cazado al vuelo en Reddit.)

Compartir en Flipboard Publicar / Tuitear Publicar