Luis Eduardo Vivero Peña escribió: > Mmm pero no fue que a MD5 se le encontraron fallas de seguridad hace > tiempo atras? Que en el fondo no es tan robusto como Crypt?
Vamos, a eso se le llama no entender la noticia :-( -- Alvaro Herrera http://www.CommandPrompt.com/ PostgreSQL Replication, Consulting, Custom Development, 24x7 support From [EMAIL PROTECTED] Thu Feb 16 11:19:54 2006 From: [EMAIL PROTECTED] (Marcos Ramirez A.) Date: Thu Feb 16 11:09:55 2006 Subject: Linux acpeta =?iso-8859-1?q?m=E1s?= de una =?iso-8859-1?q?contrase=F1a?= In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> On Thu, 2006-02-16 at 10:46 -0300, Luis Eduardo Vivero Peña wrote: > El jue, 16-02-2006 a las 10:29 -0300, Marcos Ramirez A. escribió: > > On Thu, 2006-02-16 at 09:08 -0300, Rodrigo Ruiz Fuentes wrote: > > > Srs, me acabo de dar cuenta de lo siguiente: > > > mi contraseña es 'passwd' por ejemplo, la autenticación es verdadera o > > > positiva si trato de ingresar al sistema con contraseña 'passwd&$·*' ó > > > 'passwd_hola', o cualquier cosa que tenga como prefijo la contraseña > > > correcta ! > > > > Para resolver el problema, basta con que configures tu sistema para usar > > MD5, que no tiene esa limitacion. > > Mmm pero no fue que a MD5 se le encontraron fallas de seguridad hace > tiempo atras? Fallas de seguridad, no. Encontraron que era posible generar colisiones en un tiempo razonable de calculo con SHA-0, SHA-1 y MD5, entre otros. Aqui nos salimos de la pregunta original, pero tienes razon, es mas que teoricamente posible generar colisiones usando un ataque de fuerza bruta teniendo solo el hash para verificar. Lo que tambien pasa con crypt y de hecho se requiere menos recursos de cpu/memoria. > Que en el fondo no es tan robusto como Crypt? Todo depende del algoritmo de hashing que estes usando. Hasta no hace mucho SHA/MD5 eran considerados seguros y ahora se recomienda SHA-256/512 como tal. Si SHA-256/512 pueden ser quebrados es algo que aun queda por demostrar. Saludos -- Marcos Ramirez A. <[EMAIL PROTECTED]>
