Trata-se de uma Thread longa, mas estas considerações são importantes (eu penso que sim) e permitem aprender um pouco mais de criptografia.
Ao analisar as Bases de Dados do MastersHelp como é costume, deparei com mais um browser estranho, no caso "Java/1.5.0-beta2" e como tal fui fazer uma pesquisa pecanina para ver se conseguia mais informação sobre o mesmo. É sempre importante estar atento ao que se passa nos nossos dominios...
Após breves tentativas encontrei um resultado interessante:
http://www.md5crk.com
Sobre este projecto:
"O objetivo do MD5CRK é conscientizar a indústria de TI de que o MD5 não é seguro para muitas aplicações. Pretendemos invalidar um dos requisitos fundamentais de um codificador de mensagens: Nunca podem existir duas entradas que produzem o mesmo código - isto também é conhecido como colisão.
Em criptografia, não podem existir dúvidas com relação à segurança de um algoritmo. Demonstrar um contra-exemplo para uma determinada propriedade de um algoritmo torna efetivamente o algoritmo inseguro." - em http://www.md5crk.com
Navengando um pouco sobre o web site em questão descobre-se que este projecto quer provar que o MD5 deveria ter sido abandonado em 1995 devido a não ser seguro.
Ora o que é o MD5?
"O MD5 é um algoritmo normalmente usado para verificar a integridade de dados na Internet. O MD5 é uma codificação de mensagem ou algoritmo de hash usado para produzir uma impressão digital (fingerprint) de um determinado conjunto de dados. Esta impressão digital é muitas vezes usada para verificar a integridade de programas, drivers, documentos, senhas e assinaturas digitais. É vital usar uma codificação de mensagens segura ao empregar essas aplicações." - em http://www.md5crk.com
O MastersHelp usa MD5 (e não só :P mas já lá chego) para criptar a password de acesso dos Membros. O que se faz é pegar na sua password de login, por exemplo "xpto" e aplicar a função Javascript ou PHP MD5 para criptar a mesma. Isto para que alguem que veja o resultado (a hash) não consiga saber a sua password (obviamente nem o webmaster).
Ora o problema é que é possivel, por enquanto meramente na teoria, que uma outra passoword venha a geral o mesmo resultado logo possibilitando a entrada a alguem mal intencionado.
"Em 1994, Paul van Oorschot escreveu um artigo descrevendo como construir um computador para encontrar dois documentos semelhantes (ou, para o caso anterior, muito diferentes) com a mesma codificação MD5, em questão de dias, por US$ 10.000.000. Com a tecnologia atual, este computador custaria apenas US$ 100.000." - em http://www.md5crk.com
Dá que pensar não?
Não se tratando o MastersHelp de um banco a gravidade de alguem conseguir um resultado de MD5 para a password de login do MastersHelp não deixa de ser grave dado que levamos muito a sério a segurança dos nossos dados que inclui obviamente os dados dos nossos membros. O que fazer então para garantir que nem num projecto como o MastersHelp se consegue acesso?
Bom, garantir não me atrevo mas que torno mais dificil ainda é limpinho.
A uns tempos valentes atraz quando decidi aprender sobre criptgrafia e aprendi sobre o MD5 muitos autores falavam de adicionar um "SAL" à mensagem a criptar para dificultar ainda mais a compreenção dos dados caso alguem conseguisse acesso às bases de dados. O "SAL" seria por exemplo a hora e data actuais ex: 08102004170000 (dia - mes - ano - hora - minutos - segundos) que são sempre diferentes. Ora se a mensagem é "xpto" adicionando 08102004170000 à mesma, esta terá um resultado (hash) X mas se a mesagem for "outroxpto" adiconamdo 08102004170000 dará Y
no access (eh eh)
Sendo que o MD5 funciona apenas num sentido, ou seja, não é possivel atravez da hash chegar à mensagem inicial, mesmo que se consiga atigir uma hash igual não garante que a mensagem seja a mesma. No entanto se apenas for usado MD5 conseguesse acesso.
Clarificando:
mensagem -> md5 -> hash
xpto -> md5 -> 3724284689675295925692468
outroxpto -> md5 -> 3724284689675295925692468
Entrei...
mensagem -> SAL -> md5 -> hash
xpto -> data* -> md5 -> 3724284689675295925692468
outroxpto -> data* -> md5 -> 3724284689675295925692468
Não Entrei...
Legenda:
* data da criacao da conta md5
É um projecto interessante este do http://www.md5crk.com mas não creio que consigam "no prazo de dois anos" atingir as colições que pretendem, caso por exemplo exista um sal... ou mais que um...
Boa sorte no entanto para o projecto e grato a quem se lembrou de testar o MastersHelp.
|
