Autor del software de cifrado de contraseñas utilizado por Linkdln pide que abandonen su programa

Desde hace unos días se viene propagando la noticia de que millones de contraseñas de sitios como LinkddIn, eHarmony y Last.fm fueron robadas y publicadas en varios sitios de Internet.

Los tres sitios tienen un denominador común: un programa llamado md5crypt que convierte las palabras que los usuarios seleccionan como contraseña en una serie de números y letras cifradas.

El md5crypt fue creado en 1995 por Poul-Henning Kamp. En aquel entonces los procesadores de las computadoras eran relativamente lentos, sin embargo con el aumento en la rapidez de los CPU, las memorias y otros componentes de las computadoras, los ataque de fuerza bruta son ahora mucho más fáciles de realizar, hasta el punto de que cualquier persona con una computadora regular puede descifrar una contraseña creada con el md5crypt en cuestión de horas.

Poul-Henning lanzó un llamado en su blog a todos los sitios de Internet que están usando su programa para lo abandonen y en su lugar usen nuevos algoritmos de cifrado mucho más fuertes y difíciles de penetrar. “como autor del md5crypt, quiero urgir a todas aquellas personas o compañías que todavía usan mi sistema que dejen de usarlo. Mi programa llegó al final de su vide útil y deben migrar a otros sistemas que sean más seguros” dijo Poul-Henning en su blog.

Una de las principales razones que muchos sitios de Internet todavía utilizan el md5crypt es su rapidez. Cuando un sitio como LinkedIn procesa millones de pedidos para ingresar a sus servidores, el programa de cifrado debe revisar que la contraseña compagina con la palabra original seleccionada por el usuario, la cual está cifrada. Si el algoritmo de cifrado es más complejo, la demora en comprobar la contraseña aumenta con cada pedido de ingreso.

Desde hace más de 10 años los investigadores habían descubierto fallas en el programa de md5crypt, sin embargo muchos sitios continúan usándolo, aunque por lo general las compañías que requieren sistemas fuertes de cifrado utilizan otros programas como el Blowfish or SHA-1. Ambos programas agregan caracteres “fantasmas” al cifrado, alargando la contraseña original y haciéndola mucho más difícil de descifrar.

Tags: cifrado, contraseña, eHarmony, Last.fm, LinkedIn, md5crypt, seguridad