Dado que Google ha encontrado una colisión para el algoritmo SHA-1, ¿esto implica que se rompen las contraseñas con hash que usan SHA-1?
(Tenga en cuenta que esta pregunta es principalmente para permitir que las búsquedas que buscan detalles sobre el caso SHA-1 arrojen resultados razonables; consulte la duplicidad para obtener más información)
No más de lo que ya estaban. El método para generar la colisión demostrada requiere la capacidad de modificar e insertar volúmenes de datos relativamente grandes, en ambos archivos en colisión. En otras palabras, puede generar un par de archivos en colisión, pero no generar una colisión con un archivo arbitrario, utilizando este método específico. En términos de contraseña, esto significa que a menos que haya utilizado una contraseña proporcionada por un atacante, que tiene varios kb de longitud, el atacante no podría usar su propia contraseña (también de varios kb de longitud) para acceder a su cuenta a través de una colisión de hash. Obviamente, en este caso, también podrían usar la contraseña que te dieron.
Sin embargo, , todas las contraseñas que están encriptadas con SHA-1 deben considerarse como almacenadas de forma insegura de todos modos. El hardware moderno significa que es posible probar cientos de miles de contraseñas potenciales, incluso si están almacenadas. segundo. Los algoritmos de hash diseñados para el almacenamiento de contraseñas ralentizan masivamente este proceso de prueba, lo que también hace que encontrar colisiones potenciales sea mucho más lento.