image

Hoe je 122 miljoen wachtwoord-hashes kraakt

donderdag 30 augustus 2012, 13:21 door Redactie, 8 reacties

Begin april verscheen er een bestand met 146 miljoen wachtwoord-hashes online, iemand heeft er daarvan nu 122 miljoen gekraakt. De MD5 en SHA1 wachtwoord-hashes waren verzameld door KoreLogic, met als doel het verbeteren van het onderzoek naar het kraken van wachtwoorden. Onderzoeker Pascal Clement wilde weten hoe ver hij zou komen als hij de MD5-hashes met zijn AMD Phenom II en ATI 5770 videokaart in combinatie met de kraakprogramma's John the Ripper en oclHashcat-plus zou kraken.

Uiteindelijk werden er dat 122 miljoen. Een verzameling van de gekraakte wachtwoorden werd verder geanalyseerd met het programma Pipal. Dan blijkt dat ruim een kwart van de wachtwoorden 7 karakters lang is en 65% niet langer dan 7 karakters. Slechts 5% is langer dan 11 karakters, terwijl lengte juist een belangrijke maatregel is om het kraken van wachtwoord-hashes te bemoeilijken.

Hashing
"Dit was een tijdrovende en lastige opdracht, mede omdat ik niet over de snelste kaart beschik. Het hele kraakproces duurde zo'n vijf maanden om te voltooien, ook vanwege mijn studie naar de CCNP certificering", merkt Clement op. "De geleerde les is dat met een goed en slim woordenboek, gecombineerd met handige regels voor hashcat en John the Ripper zelfs de meest onmogelijke wachtwoorden zijn te kraken."

Clement zegt in zijn analyse dat systeembeheerders een sterker hashing algoritme met salt moeten gebruiken om wachtwoorden op te slaan. Ook adviseert hij thuisgebruikers om regelmatig hun wachtwoord te wijzigen.

Woordenlijsten
"Wat opvalt is het gebruik van woordenlijsten waar ook zinnen in voorkomen. Waarschijnlijk is gezocht naar documenten en zijn alle zinnen hieruit opgenomen in de woordenlijst", zegt Frank van Vliet, CTO van Certified Secure tegenover Security.nl.

"Dit betekent niet dat het advies om passphrases te gebruiken onjuist is, maar het geeft wel aan dat het belangrijk is om een zin te kiezen die uniek is en dus niet in de woorden/zinnenlijsten voorkomt. Het gebruiken van een goede passphrase is voor de eindgebruiker nog steeds de beste manier om zich te beveiligen tegen deze aanvallen."

Reacties (8)
30-08-2012, 14:20 door Anoniem
waar kan ik die nieuwe dictionary downloaden? :P
30-08-2012, 14:25 door Anoniem
Ik zat op 15 mei op 88.7 miljoen (file van 3.59 GB) , toen maar mee gestopt. Pipal draaien duurt +-80 uur :P
30-08-2012, 17:37 door Dick99999
En hoe goed is een zin met die met Diceware gemaakt wordt? Of een zin waarin minimaal 1 (niet vernederlandst) woord uit een vreemde taal voorkomt?
30-08-2012, 18:45 door KwukDuck
"zelfs de meest onmogelijke wachtwoorden zijn te kraken"


Vandaar die 24 miljoen die nog niet gekraakt zijn? -.-


Beetje een lege kreet dit, als het niet binnen bepaalde tijd te kraken is kan je dat denk ik als 'niet te kraken' beschouwen.
31-08-2012, 10:05 door Dick99999
Ik heb eens naar een paar gevonden wachtwoorden gekeken. Weet iemand hoe met name de eeerste 10 gevonden kunnen zijn?
Dit gezien de toch willekeurige keuze van alfa/num tekens en een lengte van min 14 tekens!

yJi7NMBrg1YNO9L
yJkgICoAi4dNN4K
yJuZn9y3q46BbNv
qFuU03EIHzqnjR
qFuoFygjgg9mb6
qFyq4yDycu6K2kh
pzjkxeiidpskyi5
qFyq4yDycu6K2kh
qFuU03EIHzqnjR
qFuoFygjgg9mb6
planetaarioprojektorilla
planteziektenkundige!
plas+!c!z!ng
pmar rof nosaer eht 2.1
poiqweipeqpieqeip1995
pzq35k-y7d2j6-p7qan2-6dn6pk
31-08-2012, 10:27 door Anoniem
Door Dick99999: Ik heb eens naar een paar gevonden wachtwoorden gekeken. Weet iemand hoe met name de eeerste 10 gevonden kunnen zijn?
Dit gezien de toch willekeurige keuze van alfa/num tekens en een lengte van min 14 tekens!

yJi7NMBrg1YNO9L
yJkgICoAi4dNN4K
yJuZn9y3q46BbNv
qFuU03EIHzqnjR
qFuoFygjgg9mb6
qFyq4yDycu6K2kh
pzjkxeiidpskyi5
qFyq4yDycu6K2kh
qFuU03EIHzqnjR
qFuoFygjgg9mb6
planetaarioprojektorilla
planteziektenkundige!
plas+!c!z!ng
pmar rof nosaer eht 2.1
poiqweipeqpieqeip1995
pzq35k-y7d2j6-p7qan2-6dn6pk

Die laatste is een Trackmania serial! lol
31-08-2012, 11:04 door Anoniem
De lijst is hier te downloaden:
http://blog.thireus.com/download/wordlist/m3g9tr0n_122Million_Passwords_WordLists.zip

Had je ook zelf kunnen vinden door naar Pascal Clement site te gaan, gelinkt in dit artikel.
31-08-2012, 17:18 door Dick99999
Dat is toch de lijst met recovered passwords? Of is dat het woordenboek? Dan zou mijn vraag niet terecht zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.