Encriptador MD5 y SHA1

MD5 es uno de los algoritmos de reducción criptográficos diseñados por el profesor Ronald Rivest del MIT (Massachusetts Institute of Technology, Instituto Tecnológico de Massachusetts).

Fue desarrollado en 1991 como reemplazo del algoritmo MD4 después de que Hans Dobbertin descubriese su debilidad.

A pesar de su amplia difusión actual, la sucesión de problemas de seguridad detectados desde que, en 1996, Hans Dobbertin anunciase una colisión de hash, plantea una serie de dudas acerca de su uso futuro.

El cifrado MD5 es uno de los más usados en la red. Es, también, el que usaba Pordede antes de ser hackeada.

Cuando te registras en una página web, algunos datos se almacenan en texto plano y otros no. Texto plano es esto que estás viendo por pantalla: palabras que puedes leer perfectamente. Las contraseñas, por ejemplo, son datos que deben ser almacenados mediante un hash, pues si no, cualquier persona que entre a la base de datos donde se almacenan las claves podrá tener acceso a ellas.

Si están hasheadas, simplemente se encontrará un montón de letras juntas que no tienen ningún sentido. Un hash, como decimos, es un conjunto de letras cuya unión no tiene sentido. Se genera mediante una fórmula. Todos y cada uno de esos códigos resultantes tienen la misma longitud independientemente de cualquier otra cosa.

Por ejemplo, si hasheamos ‘a’ (cuyo resultado sería ‘0cc175b9c0f1b6a831c399e269772661’ obtendremos un dígito de igual longitud que si hasheamos ‘Pepito Grillo’ (cuyo resultado es ’10e161cb116d207591ae46274032dd33′). En el caso del MD5, la tecnología que usa Pordede, la longitud es de 32 dígitos.

¿Y cómo se sabe si la contraseña coincide con el hash?

Entonces, tenemos que la contraseña en sí nunca se almacena en las bases de datos ni en los servidores en general. Lo que se almacena, como ya sabemos, es el hash MD5. Pero, cuando introduzco mi contraseña, ¿cómo se sabe si coincide con alguno de los códigos cifrados?

Para ello lo que se hace es hashear la contraseña que nosotros hemos introducido en el campo de texto del navegador y, en caso de que coincida de forma exacta con alguna de las filas de la base de datos (y siempre y cuando pertenezca, claro al usuario al que tratamos de entrar), podemos iniciar sesión.

¿Puede fallar el MD5?

La tecnología MD5 tiene tantos años ya que ha fallado no por un error en el algoritmo, sino que se ha usado tanto y durante tantos años que ya prácticamente hay diccionarios para ‘descifrar’ cualquier hash MD5. Esto quiere decir que, aunque no podamos descifrar el código, sí que podemos buscarlo en listas que hay en Internet.

Hay hackers que invierten recursos en ir hasheando y almacenando palabras para tener una base de datos bien completa. Así, con entrar a una base de datos y extraer las contraseñas en MD5 y buscarlas en la tabla de equivalencia valdría.

Nota: Es responsabilidad de cada uno el uso de estas herramientas, teniendo en cuenta que no funciona en todos los casos o situaciones.