¿Es posible descifrar cualquier contraseña hash SHA1?

Navega tus respuestas
1

Estoy tratando de entender lo fácil que es descifrar una contraseña hash SHA1. Tengo una base de datos de entrenamiento que da cientos de contraseñas de hash.

He intentado usar algunas herramientas en línea para descifrarlas y me he dado cuenta de que solo puedo descifrar contraseñas relativamente simples con ellas.

Por lo que sé, para romper un hask, generalmente usas tablas de arco iris. En ese sentido, para mí, solo puedes descifrar contraseñas simples. Pero algunas personas en línea parecen decir que herramientas como John the Ripper o Hashcat pueden descifrar cualquier cosa.

Así que me preguntaba, ¿es siempre posible descifrar una contraseña SHA1 (incluso una realmente compleja)?

Gracias de antemano por su ayuda

    
pregunta KB303 14.07.2018 - 04:05
fuente

3 respuestas

4

No, no es posible descifrar cualquier hash SHA-1. Actualmente, hay dos problemas principales con el uso de la función hash por motivos de seguridad (no específicamente el hashing de contraseñas):

  1. Es un hash muy rápido , lo que significa que un ataque de fuerza bruta se ejecutará mucho más rápido de lo que lo haría si tuviera que usar correctamente una KDF lento . El hecho de que SHA-1 sea rápido no le permite descifrar ninguna contraseña, pero sí significa que puede intentar más intentos por segundo.

  2. Es vulnerable a ataques de colisión , como Google mostró . Un ataque de colisión permite que alguien cree dos entradas con el mismo hash. Sin embargo, no les permite revertir un hash o modificar una entrada sin afectar el hash resultante. Ese sería un tipo diferente de ataque llamado ataque de preimagen, y SHA-1 no es vulnerable a ese ataque.

Entonces, no, no puede descifrar simplemente una contraseña que se haya ocultado con SHA-1 a menos que la contraseña sea corta o débil. Sin embargo, eso no significa que debas usarlo para el hashing de contraseñas, ya que es muy rápido y se implementa de manera eficiente en una GPU.

    
respondido por el forest 14.07.2018 - 05:21
fuente
1

SHA1 es quizás el peor escenario para proteger contraseñas, excepto para el almacenamiento de texto plano o esquemas sin sal. Las herramientas de descifrado de contraseñas no solo prueban listas de contraseñas, sino que también reemplazan letras individuales, como S con $, letras dobles, combinaciones de muestra de mayúsculas y minúsculas para todas las contraseñas de la lista, palabras combinadas, etc.

En realidad, la gran mayoría de las contraseñas se pueden romper, incluso la mayoría de las contraseñas complejas.

Por encima de todo, la diferencia es el tiempo que tarda en resquebrajarse con un hardware específico, ya sea en varios meses o en unos pocos segundos. Con buenos esquemas de hashing de contraseñas como Argon2 o Scrypt, el craqueo toma más tiempo, con SHA1 o MD5 lo más corto.

    
respondido por el BeloumiX 14.07.2018 - 12:37
fuente
0
  

Así que me preguntaba, ¿es siempre posible descifrar una contraseña SHA1 (incluso una realmente compleja)?

Sí. Es solo cuestión de tiempo y esfuerzo. La pregunta interesante es "¿es posible descifrar cualquier contraseña SHA1 dentro" a la cual la respuesta es actualmente? No.

La realidad es que puedes romper cualquier hash. Solo lleva bastante tiempo en el peor de los casos.

    
respondido por el mroman 14.07.2018 - 13:17
fuente

Lea otras preguntas en las etiquetas

¿Qué puede hacer un visitante del sitio con un archivo 777 en mi servidor web? endurecimiento de WIN 10: importancia de "permitir que el sistema se apague sin tener que iniciar sesión" política