Estoy investigando una aplicación. En un archivo XML que encontré:
<ScrambledPassword>U8P3J2N1</ScrambledPassword>
Lo ejecuté a través de un script de identificación de hash que me dice que es un CRC-32 o FCS-32, los cuales me parecen poco probables.
¿Alguien tiene una idea?
Mi primer instinto es que es un algoritmo homebrew. Puede estar en línea en algún lugar, pero hay un millón de estos algoritmos homebrew. Es poco probable que puedas encontrarlo si es algo oscuro, aunque puedes probar algunos de los mejores éxitos de Google solo para ver.
Otra idea es que está encriptada y almacenada con una codificación extraña (ya que veo letras pero no es base64). O podría usar algún cifrado personalizado.
Podría ser un desafío divertido descifrar este sistema, pero probablemente deberíamos poder crear nuestros propios hashes. Por ejemplo, si tiene dos usuarios con la misma contraseña, ¿tienen la misma contraseña codificada? ¿Hace el algoritmo algo gracioso cuando lo pasas a cero bytes (0x00)? Etc.
No estoy seguro de para qué necesitas esto, pero buscaría formas de evitarlo. Si compró un sitio web y lo utiliza, simplemente reemplace el algoritmo de hash con bcrypt o algo así. O si está buscando un software para comprar, puede decirle al proveedor que está interesado en la seguridad de su producto y pedirle detalles sobre el algoritmo de hash. Si se niegan a darlo, eso es una gran bandera roja. Nadie que entienda la seguridad evade o niega preguntas sobre su uso de algoritmos.
No me parece un hash, y está etiquetado como "revuelto". Eso me llevaría a pensar que este es un simple cifrado de sustitución. ¿Controlas este valor? es decir, ¿puedes intentar ingresar una contraseña más larga para ver cuál es el resultado? Cuando encontré esto en el pasado y controlé el valor, ingresé la misma letra varias veces, es decir, "aaaaaaaa", para ver cuál es el resultado. Luego, intente "bbbbbbbb" para ver si surge un patrón;)
Lea otras preguntas en las etiquetas hash password-cracking