Sul blog Light Blue Touchpaper ho trovato un metodo molto interessante per recuperare una password (di WordPress, per la cronaca: il blog era stato craccato a partire da un account WordPress, e il tipo voleva sapere qual era la password di quell’account). La piattaforma di blog, infatti, salva sì la password in maniera crittata – per la precisione, calcola un hash MD5 e mantiene in memoria quello, ma il concetto di base è quello – ma non lo fa con un po’ di sale in zucca. Fuor di metafora, non aggiunge il salt, cioè un certo numero di caratteri casuali per far sì che due password uguali non vengano codificate allo stesso modo. Che ha fatto allora Steven, l’autore del blog? Ha provato a inserire l’hash MD5 su Google, e ha trovato varie pagine, che avevano il nome “Anthony” all’interno. E in effetti, la password era proprio Anthony!
Per semplificare la vita a chi vuole divertirsi in quel modo, uno dei lettori del blog ha scritto una pagina web che a partire da una parola vi dà i link da provare. Lascio al vostro intuito sherlockiano immaginare a che corrisponde 851cd3a23a913f9b88550bcd055e040a …
ps: il sito utilitymill.com è utile di suo :-)
Ultimo aggiornamento: 2007-11-21 13:03
C’è un errore nel link, credo che tu abbia chiuso male il tag del link.
Ciao
P.s: molto interessante
Ed è il motivo per cui in molti consigliano di non utlizzare la stessa password per i vari servizi che si usano (mail, blog, applicazioni web): trovata la password di uno dei servizi, c’è il rischio che si acceda anche a tutti gli altri.
O anche:
E grazie della segnalazione :)