Total Security - www.totalsecurity.com.br
MySQL armazena as passwords de forma insegura
O mecanismo utilizado pelo MySQL para codificar as passwords não oferece garantia de segurança, já que mediante um ataque de brute force, pode obter a password em relativamente pouco tempo.O problema encontra-se em que as passwords, que são armazenadas numa tabela utilizando password(), são encriptadas de uma forma em que facilita a sua desencriptação por brute force a grande velocidade.
Isto pode ser utilizado para um intruso, com acesso á base de dados que contém as passwords, identificar em períodos relativamente curtos qualquer password. Por exemplo, uma password de oito caracteres em questão de poucas horas.
Deve ressaltar-se que o MySQL oferece outros mecanismos de encriptação de passwords mais robustos.
O código fonte do crack pode ser obtido clicando aqui.
Isto pode ser utilizado para um intruso, com acesso á base de dados que contém as passwords, identificar em períodos relativamente curtos qualquer password. Por exemplo, uma password de oito caracteres em questão de poucas horas.
Deve ressaltar-se que o MySQL oferece outros mecanismos de encriptação de passwords mais robustos.
O código fonte do crack pode ser obtido clicando aqui.
URL Fonte: http://www.totalsecurity.com.br/noticia/12/visualizar/
Comentários