Cifrar contraseñas. ¿Es totalmente seguro sha1?

En recientes días, haciendo una investigación acerca de el funcionamiento de cierta aplicación móvil me encontré con que usa una API pública, en la cual se puede obtener información de dicha app y el servicio que ofrece esa empresa.

La API en cuestión es muy fácil de consumir, basta con llamarla de la siguiente forma:

http://ip-de-la-pagina/a/metodo/parametro

Es decir si ponía:

http://ip-de-la-pagina/a/servicios/

Me aparecía un JSON con los servicios que ofrece. Hasta aquí todo bien. ¿Y qué tiene que ver esto con seguridad? Te has de estar preguntando. Aquí empieza lo bueno.

Se me ocurrió poner:

http://ip-de-la-pagina/a/usuarios/

Y la página me contestó con un JSON bien bonito donde venían los datos de los usuarios, incluido su nombre de inicio de sesión (username) y un SHA1 de su contraseña.

Hacer bypass a ese “super cifrado” fue tan fácil como entrar a http://hashkiller.co.uk o https://crackstation.net y pegar los respectivos digest *. Sigue leyendo

Anuncios