Leo en Microsiervos que es posible utilizar Google para crackear contraseñas codificadas con MD5. El truco es que muchos webmasters añaden el MD5 de las palabras clave a la URL o el texto de la página, con lo que Internet es una gigantesca base de datos de códigos MD5. Lo interesante es que ya existe una base de datos de este tipo, rednoize. La página nos presenta un formulario de búsqueda similar a Google; solo hay que poner en código MD5 que tengamos, y si lo tienen en su base de datos nos dirá a que palabra corresponde. Según este buscador, disponen de una base de datos de casi 50 millones de códigos MD5.

El mantenimiento de cualquier sistema multiusuario presenta un problema muy grave; ¿Que pasa si alguien consigue hacerse con una copia de la base de datos de usuarios? Automáticamente, habrá conseguido hacerse con las claves de TODOS los usuarios del sistema, de manera que podrá entrar libremente. Para prevenir este problema, en las bases de datos de usuarios la clave de acceso se guarda codificada; de esta forma un hipotético intruso que consiga hacerse con ella no podrá hacerse pasar por los usuarios.

El método de codificación de claves mas popular es el mencionado MD5, lo que quiere decir que, en la base de datos, lo que guardamos no es la clave sino el resultado de codificarla con esta función; es decir, si nuestra clave de acceso es “claveacceso”, el valor que almacenaremos en la base de datos es “12fefb90fd7513363a30afbf5b536da7″.

Esto significa que si podemos darle la vuelta a esta función, es decir, si podemos descubrir que palabra le corresponde a un determinado código MD5 estaremos en condiciones de descubrir las claves de acceso de algún sistema del que hayamos logrado obtener una copia de su base de datos de usuarios.

Hay que decir que codificar las claves de acceso con MD5 es un procedimiento que desde siempre se ha considerado inseguro, de modo que los desarrolladores no deberían utilizarlo.