Algoritmo MD5

sith · #1 (**permalink**) 25/09/2003, 03:54

ola tios, vereis tngo una base de datos donde ay un campo llamado "password", el cual esta en MD5, q es lo q tengo q acer para desencriptarlo, para poder compararlo con el pass q mete el usuario para q verifique si es correcto?

josemi · #2 (**permalink**) 25/09/2003, 04:07

Hola,

MD5 no se puede "desencriptar". Es un algoritmo de una sola direccion. Por eso es tan seguro, porque no se puede "desencriptar" (realmente no encripta, sino que calcula un "hash").

Pero tampoco es necesario para realizar la comparacion. Lo que debes hacer es hallar el md5 del password que ha metido el usuario y comparar el valor obtenido con el de la base de datos.

Saludos.

epplestun · #3 (**permalink**) 25/09/2003, 05:12

Es decir, comparar HASHes :P tu guardas en tu BBDD el Hash del pass y lo comparas con el de tu BBDD jeje pero weno de todas maneras el algoritmo MD5 es vulnerable via FUERZA BRUTA!!!!! por que si mal no recuerdo los pass de Linux normalmente suelen estar encriptados con MD5 y se podian descifrar via fuerza bruta ... pero weno es lo de menos :p

josemi · #4 (**permalink**) 25/09/2003, 08:38

Pues claro. Con fuerza bruta se puede desencriptar todo. Lo unico malo es el tiempo que se tarda. Aun asi, con fuerza bruta no necesariamente sacas el pass original. Puedes obtener una cadena que genere el mismo hash del pass original. Total, solo probando un maximo 2^128 cadenas (que cada una genera un hash md5 unico), encontrarias el "sinonimo" del pass original.

Saludos.

epplestun · #5 (**permalink**) 25/09/2003, 09:39

JEJE pozi :P jeje

sith · #6 (**permalink**) 26/09/2003, 10:28

muxas gracias x la splicacion colegas

nuevo · #7 (**permalink**) 26/09/2003, 11:06

Cita:

Mensaje Original por josemi

Pero tampoco es necesario para realizar la comparacion. Lo que debes hacer es hallar el md5 del password que ha metido el usuario y comparar el valor obtenido con el de la base de datos.

claro, pasa el pass que el user ponga en el formulario, por el hash MD5 y los comparas, si son iguales pues ale, correcto y pa dentro.

Código PHP:

  <?php

 
 
if (pass2 != md5($_POST['password'])) { //1º, saco el pass del form, tipo POST, encripto el pass a MD5 y lo compruebo con el de la BD pass2

 
echo "password no valido";

 
exit;//terminamos

 }

 
//salta si son iguales y seguimos con el script

 
?>

maestros., eso estaria bien?

josemi · #8 (**permalink**) 26/09/2003, 14:49

Bueno, siempre y cuando estes seguro que ambos md5 coinciden en las mayusculas/minusculas. Es que me paso que una vez usaba una funcion md5 de PHP y comparaba el valor con el md5 de MySQL del mismo valor y la comparacion con == me fallaba. Y estaba seguro que eran la misma clave. Asi que haciendo la tipica prueba de echo $pass1."=".$pass2; me di cuenta que una estaba en mayusculas y la otra en minusculas. Asi que desde ese momento siempre hago la comparacion con strtolower():

Código PHP:

  if (strtolower($pass2) != strtolower(md5($_POST['password'])))

O si no usar para todo la misma funcion md5(). Insertar en MySQL con la MD5() de MySQL y hacer la comparacion en la consulta SQL "WHERE pass=MD5({$_POST['pass']}".

Saludos.