image

Top 30 populairste LinkedIn-wachtwoorden

zondag 10 juni 2012, 10:24 door Redactie, 21 reacties

Link is het populairste wachtwoord van LinkedIn-gebruikers van wie de wachtwoord-hash gekraakt is. Deze week verscheen een bestand met 6,5 miljoen wachtwoord-hashes van LinkedIn-gebruikers online. Daarvan is inmiddels een groot deel gekraakt, wat een overzicht van de Top 30 populairste LinkedIn-wachtwoorden oplevert. Na Link volgt 1234, work, god en job. Fuck, bitch en dick komen ook in het overzicht voor en dat is geen verstandige keuze, aldus beveiligingsbedrijf Rapid7 dat de Top 30 samenstelde.

Scheldwoorden zijn niet alleen zwak, ze kunnen ook erg gênant voor de eigenaar zijn als ze worden geopenbaard. "Dit soort wachtwoorden kunnen ervoor zorgen dat je LinkedIn moet gebruiken om een nieuwe baan te vinden!" Daarnaast zouden scheldwoorden boven brute-force woordenboeken staan, zo laat de beveiliger weten.

Waarschuwing
Inmiddels heeft ook LinkedIn meer details over het wachtwoord-lek gegeven. Daarin verklaart de sociale netwerksite waarom het gebruikers niet direct waarschuwde. "Meteen toen we van de diefstal hoorden, zijn we een onderzoek begonnen om te bevestigen dat de wachtwoorden van LinkedIn-gebruikers zijn. Zodra dit bevestigd was, hebben we meteen het risico voor onze gebruikers in kaart gebracht", zegt Vicente Silveira.

Van gebruikers van wie de gelekte wachtwoord-hash was gekraakt werd het account uitgeschakeld. Vervolgens werden deze gebruikers via e-mail ingelicht.

Salt
Daarnaast stelt Silveira dat de wachtwoorden van LinkedIn-gebruikers al voor het nieuws van het wachtwoord-lek waren gesalt. Bij salting wordt een waarde aan het wachtwoord toegevoegd en dit vervolgens gehasht, waardoor eerdere berekende hashes niet zijn te gebruiken. De gelekte LinkedIn-hashes zijn niet gesalt.

Dat zou kunnen betekenen dat de wachtwoorden voor het salten zijn gestolen of dat ze uit een oude back-up afkomstig zijn, zoals sommige experts vermoeden.

Reacties (21)
10-06-2012, 10:57 door Anoniem
Heeft er nu al eens iemand uitgerekend hoeveel wachtwoorden er 'toevallig' met LinedIn matchen als je 6500000 wachtwoorden genereerd?
Overigens, had LinedIn niet een wachtwoordbeleid waar deze zwakke wachtwoorden compleet niet aan voldoen?
10-06-2012, 11:13 door SBBo
Ik vind zo wie zo dat applicaties brute force methoden moeten voorkomen door een account locout na drie pogingen.
Is er één goede reden om dit niet te doen?
Wanneer de database gehackt wordt en de MD5 hash waarden vam de wachtwoorden worden gestolen, dan maakt het wachtwoor op zich niet meer uit. Alleen de lengte en de complexiteit kan je dan nog redden.
Er zijn voldoende rainbow tables te vinden en een handige applicatieschrijver met tijd maakt ze zelf.
10-06-2012, 11:14 door Anoniem
Daarin verklaart de sociale netwerksite waarom het gebruikers niet direct waarschuwde.
Omdat ze hoopten dat de storm over zou waaien.
Daarnaast stelt Silveira dat de wachtwoorden van LinkedIn-gebruikers al voor het nieuws van het wachtwoord-lek waren gesalt.
Werkelijk? Hoe salt je dan een bestaande lijst ongesalte hashes? Dat kan niet - tenzij je ze kraakt. Het zou enkel kunnen door te wachten totdat een gebruiker inlogt, en zo het plaintekstwachtwoord te verkrijgen, dat te salten en te hashen. Maar dan verwacht je wel dat gebruikers op tijd inloggen. Ikzelf gebruik LinkedIn nauwelijks, en login via een cookie, waarvan ik mag aannemen dat ie een of andere ID bevat in plaats van mijn plaintekstwachtwoord.
10-06-2012, 11:47 door Anoniem
Dan vraag je toch om problemen als je zulke wachtwoorden gebruikt?
10-06-2012, 12:07 door Anoniem
Een modernere hack methode is het testen van 2 random passwords op een random account.
Vervolgens gaat de bot naar de volgende account.
Dit werkt iets beter dan een eindeloze aanval op 1 account.
Omdat de bot heel simpel alleen maar test met zwakke passwords.
De zwakste schakel is de "gemiddelde" gebruiker en van die zwakte zal gebruik gemaakt worden.
10-06-2012, 12:55 door Anoniem
Door SBBo: Ik vind zo wie zo dat applicaties brute force methoden moeten voorkomen door een account locout na drie pogingen.
.
Dat helpt nog steeds niet ?
met brute forcen word in dit geval kraken van de geleakte hash bedoelt
10-06-2012, 14:02 door cjkos
Linkedin zie ik niet als een applicatie maar als een social media platform. Een platform dat volgens mij door de meeste mensen niet dagelijks, wekelijks of soms zelfs maandelijks geraadpleegd wordt.

Onzin dus om daar zo.n een lock-out in te gaan voeren.

Ik vind dat zinnig bij online bankieren, of bij mijn DigID, (waar overigens hetzelfde voor geld als bij Linkedin) maar niet bij Linkedin. Ook al kan dat nadelig zijn.

In dit geval had die lock-out ook geen bal uitgemaakt natuurlijk, aangezien ze het wachtwoord gewoon op papier zouden hebben.

Voor de schijnveiligheid zou het natuurlijk wel een goede optie zijn.
10-06-2012, 14:49 door Whoops
Hoeveel Facebook gebruikers zouden het wachtwoord "face" hebben?
10-06-2012, 16:07 door Anoniem
Door Anoniem:

Werkelijk? Hoe salt je dan een bestaande lijst ongesalte hashes? Dat kan niet - tenzij je ze kraakt. (...)

Geen probleem:

sha1($salt . sha1($password));

Kan je prima doen als je alleen een sha1 van het password hebt
10-06-2012, 16:14 door Harbert
Door Anoniem:
Werkelijk? Hoe salt je dan een bestaande lijst ongesalte hashes? Dat kan niet - tenzij je ze kraakt.
hoezo? Je kunt toch een salt aan de hash toevoegen en de gesalte hash opnieuw hashen? Dat levert niet extreem veel meer load op en je hebt de boel toch een stap extra beveiligd.
10-06-2012, 18:25 door [Account Verwijderd]
[Verwijderd]
10-06-2012, 20:14 door Anoniem
Ik kan de genoemde wachtwoorden niet vinden in de LinkedIn hash tabellen.

Kan iemand dit bevestigen of ontkrachten?
10-06-2012, 20:29 door Anoniem
Dat zou kunnen betekenen dat de wachtwoorden voor het salten zijn gestolen of dat ze uit een oude back-up afkomstig zijn, zoals sommige experts vermoeden.
Het kan ook nog steeds betekenen dat de wachtwoorden helemaal niet bij Linkedin horen... Het enige wat er tot nu toe is bevestigd is dat:
- er 6,5miljoen sha-1 hashes zijn gepubliceerd
- er 6,5miljoen gegenereerde wachtwoorden matchen tegen de sha-1 hashes
- van die gegenereerde wachtwoorden er een deel overeen komt met wat gebruikers zeggen voor linkedin te gebruiken
- linkedin zegt dat enkele wachtwoorden tussen hun 160 miljoen accounts gebruik worden
- er veel zwakke wachtwoorden tussen zitten die volgens het linkedinbeleid nooit gebruikt konden worden
10-06-2012, 21:34 door Anoniem
Ik dacht dat de lijst met hashes unique gemaakt waren voor publicatie. Hoe kunnen er dan top-whatever lijstjes worden gemaakt?
11-06-2012, 10:09 door Anoniem
Door SBBo: Ik vind zo wie zo dat applicaties brute force methoden moeten voorkomen door een account locout na drie pogingen.
Is er één goede reden om dit niet te doen?
Ja. Ik heb een hekel aan jouw. Ik weet jou $servicewaarjijveelwaardeaanhecht accountnaam. Ik ga inlogpogingen doen totdat jouw account gelocked wordt.

Als ik dat vaak genoeg doe wordt het vanzelf vervelend.
11-06-2012, 11:34 door Anoniem
Ik kan de genoemde wachtwoorden niet vinden in de LinkedIn hash tabellen.

Kan iemand dit bevestigen of ontkrachten?

Kan idd bevestigen dat de genoemde wachtwoorde NIET voorkomen in de database.

Check zelf: http://linkedout.beerandcake.com

Vind het ook vreemd want LinkedIn vraagt een minimum wachtoord lengte van 6 karakters.
11-06-2012, 11:59 door Charley51
Door Anoniem:
Door SBBo: Ik vind zo wie zo dat applicaties brute force methoden moeten voorkomen door een account locout na drie pogingen.
Is er één goede reden om dit niet te doen?
Ja. Ik heb een hekel aan jouw. Ik weet jou $servicewaarjijveelwaardeaanhecht accountnaam. Ik ga inlogpogingen doen totdat jouw account gelocked wordt.

Als ik dat vaak genoeg doe wordt het vanzelf vervelend.
Welnee. Een beetje slimme beheerder zal zorgen, dat jouw ip-nummer in dat geval voor een bepaalde tijd wordt geblokkeerd. Zal je toch iedere keer via een proxy of van een andere plaats (ander ip-nummer) moeten gaan proberen. En bij een google-account kan je zelfs zien, welke ip-nummers pogingen hebben gedaan, dacht ik.
Maar theoretisch is het wel een mogelijkheid, ja.
11-06-2012, 13:18 door Anoniem
Ongeloofelijk toch, LinkedIn die via een email gebruikers gaat vragen om hun wachtwoord te veranderen door op een link in het bericht te klikken! Snap je toch niks van.

Lees ook op ISC: https://isc.sans.edu/diary/Preying+on+Users+After+Major+Security+Incidents/13423

Preying on Users After Major Security Incidents

As most of our readers already know, there has been some major publicized password breaches involving LinkedIn, eHarmony, and others. Scam artists have taken notice of these breaches and are using these incidents to prey on confused or unsuspecting users.

For example, one of our readers received a scam message claiming to be from IMDb. The scam message (see below) claims that there are problems with the security of the user's password which can be corrected by clicking on the link. Anyone who clicks on the link are redirected to a pharmaceutical advertisement site. Similar messages have been seen elsewhere which purported to be from LinkedIn or eHarmony.

Unfortunately, this type of activity happens with almost any major incident, no matter if it is a data breach, natural disaster, or other major crisis. Within the InfoSec community, we need to find effective ways to communicate to our respective user communities about well publicized issues, as well as the scam possibility in the aftermath of the real incident.
11-06-2012, 16:58 door dick52
Ik heb dus mijn ww maar veranderd in een zeer lange, dat geeft meer zekerheid begrijp ik
12-06-2012, 11:19 door Anoniem
Door Peter V: Even een testje.

Wie kan de onderstaande MD5 Hash voor mij even kraken met een Rainbowtabel?
(ik geef toestemming, het ww is namelijk van mij).

47d8e6178934f8b1174f0965e44a3ecb

Ik wens u veel succes.

[object HTMLCollection]
12-06-2012, 11:39 door Anoniem
Door Anoniem:
Door SBBo: Ik vind zo wie zo dat applicaties brute force methoden moeten voorkomen door een account locout na drie pogingen.
Is er één goede reden om dit niet te doen?
Ja. Ik heb een hekel aan jouw. Ik weet jou $servicewaarjijveelwaardeaanhecht accountnaam. Ik ga inlogpogingen doen totdat jouw account gelocked wordt.

Als ik dat vaak genoeg doe wordt het vanzelf vervelend.

Dan creeer je een leuke DoS voor alle accounts inderdaad.
Netter is om toegang tot het account X minuten misschien te ontzien en na die tijd weer te enablen, true iemand die je niet mag kan nog steeds je account disablen maar aangezien de tijdspanne zo groot is zou je wellicht LinkedIn kunnen inschakelen om te vragen of ze het source ip-adres blocken..als het een gerichte DDoS tegen jouw account is dan zou ik sowieso maar bidden dat het goed komt , ongeacht welke oplossing je ook kiest ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.