Em uma semana marcada pelo vazamento de arquivos de autenticação de vários serviços on-line populares, o autor de uma das ferramentas essenciais para a criptografia empregada nas senhas de vários sistemas faz um alerta importante.

Boa parte dos sistemas Linux atuais usam o md5crypt como sistema default para armazenar os dados sobre as senhas de seus usuários, mas seu autor alerta: era um método seguro na década de 1990, e hoje não é mais.

O md5crypt foi criado em 1995 e na época substituiu rapidamente a solução mais popular nos EUA, que era o DES, no qual já era possível quebrar por força bruta qualquer senha em um intervalo de poucos dias.

Mas nos últimos 15 anos o hardware avançou bastante e, usando o processamento disponível em uma placa de vídeo moderna, já é possível fazer o mesmo com qualquer senha criptografada usando o md5crypt.

A evolução para outro método de criptografia pode não ser trivial, e o autor sugere não se limitar a simplesmente adotar outro dos métodos já disponíveis, mas sim uma combinação deles. (via phk.freebsd.dk – “Md5crypt Password scrambler is no longer considered safe by author — PHKs Bikeshed”)