¿Las contraseñas de más de 128 bits son inútiles si las hash con MD5? [duplicar]

Primero, usar un simple hash MD5 para proteger una contraseña es una mala idea desde el principio. Consulte ¿Cómo hacer hash de forma segura las contraseñas? para obtener detalles.

Aparte de eso, asumes que una contraseña de 128 bits tendría la misma fuerza que la MD5 de 128 bits. Esto asume implícitamente que los 128 bits de la contraseña se eligen al azar. Este no suele ser el caso, es decir, las contraseñas se suelen elegir para que sean memorables y la memorización de datos aleatorios de 32 bytes (o unos 42 caracteres ASCII cuando se codifican con base64) no se realiza fácilmente.

Al preguntar si las contraseñas de más de 128 bits son inútiles, ya que MD5 es solo de 128 bits, también supone que hay una asignación 1: 1 entre una entrada de 128 bits y su hash MD5 de 128 bits. No creo que esto sea una propiedad de MD5, es decir, en algún caso necesitaría (un poco) más de 128 bits de entrada para generar un valor MD5 específico.

Pero suponiendo que la contraseña fue en realidad datos de 128 bits elegidos al azar, que el atacante no tiene acceso a la contraseña sino al hash MD5 y que este hash MD5 se usa para validar la contraseña, en este caso el atacante necesitaría realizar un ataque previo a la imagen, es decir, encontrar una entrada que coincida con el valor de hash existente. Resulta que esto es, en realidad, un poco menos complejo que el hecho de que todas las contraseñas posibles sean forzadas de manera brutal. De acuerdo con ataque de imagen previa en hash MD5 desde crypto. Si la complejidad para encontrar una imagen previa es aproximadamente 2 ¹²³ , que es un poco menos compleja que la fuerza bruta forzando todo (2 ¹²⁸ para una búsqueda completa, es decir, 2 ¹²⁷ en promedio) pero aún no es fácil de hacer.