image

Microsoft: veel gelekte wachtwoordlijsten rotzooi

maandag 16 juli 2012, 10:27 door Redactie, 9 reacties

Veel van de gestolen databases en wachtwoordlijsten die op websites als Pastebin.com verschijnen zijn 'complete rotzooi', aldus Microsoft. De softwaregigant reageert na een week van verschillende inbraken bij websites van Nvidia, Billabong, Yahoo!, Formspring en Android Forums waar miljoenen gebruikersgegevens werden buitgemaakt.

Zodra Microsoft dit soort lijsten ontdekt of van andere partijen krijgt wordt gecontroleerd of de eigen gebruikers kwetsbaar zijn. "Dit wordt op geautomatiseerde en veilige wijze gedaan zodat geen enkel mens de accountgegevens van onze klanten ziet", zegt Microsoft's Eric Doerr. Hij merkt op dat de softwaregigant niet vaak over de veiligheidssystemen blogt die het gebruikt. "Geen noodzaak om de bad guys meer ideeën te geven om onze klanten aan te vallen." Vanwege het grote aantal datalekken afgelopen week wil Microsoft toch bepaalde dingen duidelijk maken.

Controle
Wat de automatische controle betreft hebben berichten op Pastebin.com weinig waarde. "Je zult verrast zijn hoe vaak de lijsten, met name die openbaar worden gemaakt, complete rotzooi met nul matches zijn", gaat Doerr verder. In sommige gevallen zijn er wel overeenkomsten. Gemiddeld komen dezelfde wachtwoorden met 20% van dezelfde gebruikersnamen overeen.

Bij een recent lek was de overeenkomst 4,5%. "Dit is goed nieuws, omdat het betekent dat gemiddeld 80% van onze gebruikers een veilig wachtwoord gebruiken."

Reset
In sommige gevallen is er onvoldoende informatie om te zien of er wachtwoorden zijn hergebruikt en wie er risico loopt. "Vragen we dan 100% van die klanten om hun wachtwoord te resetten, ook al loopt waarschijnlijk 20% risico? Of laten we die 20% risico lopen om geen ongemak voor de 80% te veroorzaken" stelt Doerr.

Als de dreiging volgens Microsoft reëel is, wordt er gekozen om iedereen z'n wachtwoord te laten resetten. "Ik verontschuldig me voor het ongemak, maar ik hoop dat je ons vergeeft voor het beschermen van je buurman. De volgende keer ben jij het misschien."

Reacties (9)
16-07-2012, 10:52 door Anoniem
Hoe kan MS in hemelsnaam een .db vergelijken met die van een andere partij?

Hebben ze toevallig al eerder volle toegang gehad?
Volgen ze gebruikers zo nauwkeurig dat MS een eigen .db per gebruiker heeft?

Of vergelijken ze de ID's + passes alleen met hun eigen data, en wat is in dat geval nog de waarde van een MS-onderzoek??


Last but not least, zowel m'n Yahoo als m'n FormSpring accounts zijn gepubliceerd, inclusief de CORRECTE pass-phrases...
16-07-2012, 12:23 door Anoniem
Door Anoniem: Hoe kan MS in hemelsnaam een .db vergelijken met die van een andere partij?

Hebben ze toevallig al eerder volle toegang gehad?
Volgen ze gebruikers zo nauwkeurig dat MS een eigen .db per gebruiker heeft?

Of vergelijken ze de ID's + passes alleen met hun eigen data, en wat is in dat geval nog de waarde van een MS-onderzoek??


Last but not least, zowel m'n Yahoo als m'n FormSpring accounts zijn gepubliceerd, inclusief de CORRECTE pass-phrases...
[TROLL]Kan niet, zoals MS al zei: het is rotzooi![/TROLL]
Meh, hoe kan MS hier uberhaupt iets over te zeggen hebben....
16-07-2012, 14:01 door Nimrod
Nou jongens, zo moeilijk is het ook weer niet :) Het is geen hogere wiskunde :P

Microsoft scant de gelekte databases naar eigen klanten. Dit betekent dat ze bijvoorbeeld scannen op e-mail adressen die iets te maken hebben met @msn.com of @hotmail.com. De wachtwoorden die corresponderen met de e-mail adressen van Microsoft klanten worden dan aansluitend gecontroleerd. Is het gelekte wachtwoord hetzelfde als het wachtwoord van het e-mail adres dan kan Microsoft er bijvoorbeeld voor zorgen dat de klant gedwongen wordt om zijn wachtwoord te veranderen.

Tijdens het gebruik van deze methode heeft Microsoft opgemerkt dat vrijwel alle gelekte databases dikke troep zijn waar je niks aan hebt. Dat betekent dus dat het Microsoft wachtwoord en het gelekte wachtwoord in heel veel gevallen niet overeen komen.

Snappie?
16-07-2012, 14:16 door SecOff
Door Nimrod: Dat betekent dus dat het Microsoft wachtwoord en het gelekte wachtwoord in heel veel gevallen niet overeen komen.Snappie?
Als de gelekte wachtwoorden goed gesalt zijn zou MS dat ook nooit KUNNEN checken.
16-07-2012, 14:39 door Anoniem
Door SecOff:
Door Nimrod: Dat betekent dus dat het Microsoft wachtwoord en het gelekte wachtwoord in heel veel gevallen niet overeen komen.Snappie?
Als de gelekte wachtwoorden goed gesalt zijn zou MS dat ook nooit KUNNEN checken.

Natuurlijk wel; ze bootsen gewoon het inlogsysteem na.
Alleen vult de gebruiker dan niet het wachtwoord in, maar het controleprogramma.
Oftewel, dat controleprogramma doet met het wachtwoord precies hetzelfde, als wat de code achter de loginpagina met het wachtwoord doet.
16-07-2012, 14:54 door Anoniem
Door SecOff:
Door Nimrod: Dat betekent dus dat het Microsoft wachtwoord en het gelekte wachtwoord in heel veel gevallen niet overeen komen.Snappie?
Als de gelekte wachtwoorden goed gesalt zijn zou MS dat ook nooit KUNNEN checken.

Lol, hoe moeten ze dan controleren of je wel het juiste wachtwoord hebt ingevoerd als je op hun service wil inloggen.
16-07-2012, 15:30 door Nimrod
@Anoniem die reageert op SecOff

SecOff heeft wel gelijk...

Salten aan MS zijn kant is natuurlijk geen probleem. Microsoft kan inderdaad zijn eigen inlog systeem gebruiken voor de controle.

Wachtwoorden die gelekt zijn kunnen echter wel gesalt zijn door een derde partij. Bijvoorbeeld Yahoo of NVidea. MS weet waarschijnlijk deze salt methode niet en gaat dus de gesalte gelekte wachtwoorden vergelijken met hun eigen wachtwoorden. Hierdoor kan MS niet meer stellen dat niet dezelfde wachtwoorden zijn gebruikt.

Het leuke is echter dat de conclusie echter wel hetzelfde is. De gelekte wachtwoorden zijn waardeloos tenzij de salt methode ook gelekt is, echter wanneer dit het geval is dan begint MS gewoon weer van het begin.

Conclusie: In beide gevallen controleert MS of de gelekte wachtwoorden van toepassing kunnen zijn voor hackers. Dit blijkt in de praktijk vrijwel nooit voor te komen. Dit kan komen door salting of door het feit dat klanten slim genoeg zijn om niet overal hetzelfde wachtwoord te gebruiken... Ik verwacht het eerste :P
16-07-2012, 18:01 door slartibartfast
"Hij merkt op dat de softwaregigant niet vaak over de veiligheidssystemen blogt die het gebruikt."

En dat is erg jammer. Heb er een tijdje rondgekeken en die tools zijn inderdaad imposant. Microsoft is de meest aangevallen organisatie naast het DoD in de USA. Paar honderd security mensen alleen al om de eigen systemen te beschermen en de tools die ze daarvoor gebruiken zouden ze zo kunnen verkopen... zijn in ieder geval beter dan dat wat ze wel verkopen :-)
16-07-2012, 18:08 door Anoniem
"Lol, hoe moeten ze dan controleren of je wel het juiste wachtwoord hebt ingevoerd als je op hun service wil inloggen."

Het lijkt mij logisch dat ze dat niet doen aan de hand van het wachtwoord dat iemand met een hotmail account gebruikt op Yahoo Voice (tenzij de gebruiker hetzelfde password ook voor MS diensten gebruikt).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.