Questão:
As calculadoras de hash online são perigosas?
Gabriel Fair
2012-06-21 20:10:53 UTC
view on stackexchange narkive permalink

Eu estava prestes a usar uma calculadora de soma de verificação MD5 online quando percebi que meu resultado poderia ser adicionado a um banco de dados. Isso é significativo porque a string que eu ia digitar era a minha senha do banco. As calculadoras de hash online podem ser perigosas?

Semi-relacionado: não confie no truque de desconectar o cabo de rede, usar o formulário e fechar a janela, porque os plug-ins podem ser executados em segundo plano e o armazenamento local pode ser usado para transmitir na próxima vez que você visitar o site. (e limpar cookies, histórico de html5, objetos flash nem sempre funcionam, porque você se esqueceu de uma coisa, histórico do navegador e muito mais)
Eu sei que não é realmente relevante para a pergunta, mas por que diabos você precisa de um hash da senha do seu banco?
Eu estava procurando para ver se meu banco estava salgando os hashes das senhas de suas contas em seu servidor. Eu só pude verificar isso usando o meu.
Sem mencionar que o MD5 está gravemente [quebrado] (http://en.wikipedia.org/wiki/Collision_attack) ...
@GabrielFair - E como você estaria recebendo o hash - você hackeado suas costas? (Nesse caso, os sais são geralmente armazenados com os hashes de senha). Em geral, eu não esperaria que um banco fornecesse extrações de hashes para _qualquer pessoa_, como medida de segurança. Se o seu banco foi hackeado e deseja verificar a lista de 'liberados', altere sua senha ** independentemente **, _então_ compare os hashes.
Se entendi corretamente sua pergunta, o quanto importa se o hash estiver armazenado em um banco de dados? Posso criar muitos hashes online e usá-los em outro lugar. Como esses sites sabem onde usar seu hash para obter acesso à conta?
Isso pressupõe uma série de coisas (que os bancos estão usando SSL para um). Além disso, apenas saber que uma senha foi usada pode ser valioso - após um certo limite, tente fazer o login em qualquer banco local (dado o endereço IP do solicitante original) (e possivelmente nacional) usando a senha fornecida e nomes gerados automaticamente (por exemplo, nomes na lista telefônica local, ou roubado do Facebook ou algo assim).
Trzy respostas:
user10211
2012-06-21 20:19:34 UTC
view on stackexchange narkive permalink

Potencialmente, sim, o hash poderia de fato ser armazenado em um banco de dados para uso malicioso.

Nunca insira sua senha em um site de terceiros, a menos que você confie no provedor do serviço E o serviço esteja usando algum tipo de esquema de autenticação / criptografia (SSL, HTTPS).

Você pode gerar facilmente seus próprios hashes em seu próprio sistema, usando bibliotecas MD5 de várias linguagens de programação.

Andy Smith
2012-06-21 21:28:07 UTC
view on stackexchange narkive permalink

Sim, enviar sua senha para qualquer site é perigoso .

Não há nada de especial nas calculadoras de hash on-line, pense nisso como nada diferente de digitá-la no Google ou postar no StackExchange. Esse site pode não apenas estar armazenando a senha inserida, mas se você não estiver conectado por HTTPS, qualquer pessoa pode farejar essa senha.

Se você quiser calcular o MD5 da sua senha (embora eu não seja bem o suficiente claro por que você faria?) faça isso localmente - há muitos softwares de distância do Google para ajudá-lo.

Alguém pode querer ter um hash MD5 ou SHA1 de sua senha para verificar listas de hash vazadas e ver se a delas está nela. O recente hack do LinkedIn é um bom exemplo.
Bom ponto! Não tinha pensado nisso
Publicar o hash MD5 / SHA1 da sua senha é uma ideia quase tão ruim quanto publicar a própria senha.
Mark Davidson
2012-06-21 20:20:12 UTC
view on stackexchange narkive permalink

É claro que tudo pode ser considerado perigoso - você certamente não deve colocar nenhuma informação sensível em um sistema quando não tem certeza do que está sendo feito com ela. Além disso, muitas dessas calculadoras online não usam https, portanto, sua senha seria enviada de forma clara, então isso é ruim antes de começar a fazer o que estão fazendo com ela.

Se você deseja calcular hashes, pode fazer isso localmente na maioria dos sistemas operacionais, particularmente com algo tão simples como MD5, onde há suporte para ele em quase todas as linguagens de programação / script. Portanto, seria melhor fazer isso localmente, a menos que o hash que você deseja calcular não seja sensível de qualquer maneira.

Por exemplo, você pode calculá-lo localmente usando python em 2 linhas 

  import hashlibprint hashlib.md5 ("qualquer que seja sua string"). hexdigest ()
Ou ** PHP: ** `php -r 'echo (md5 (" secret ")." \ N ");'` ou ** bash: ** `echo -n secret | md5sum` ou ** perl: ** `perl -e 'use Digest :: MD5 qw (md5 md5_hex md5_base64); print (md5_hex ("segredo"). "\ n"); '`


Estas perguntas e respostas foram traduzidas automaticamente do idioma inglês.O conteúdo original está disponível em stackexchange, que agradecemos pela licença cc by-sa 3.0 sob a qual é distribuído.
Loading...