Onderzoeker kraakt 4.000 wachtwoorden Ashley Madison
Een onderzoeker is erin geslaagd om 4.000 wachtwoorden van gebruikers van Ashley Madison te kraken, waarmee wordt aangetoond hoe belangrijk het is om een sterk wachtwoord te kiezen. Aanvallers wisten vorige maand een grote hoeveelheid data van Ashley Madison te stelen, de site voor vreemdgangers.
De gegevens werden vorige week deels gepubliceerd. Tussen de gestolen data bevonden zich ook 36 miljoen wachtwoordhashes. Ashley Madison had de wachtwoorden niet in platte tekst opgeslagen, maar in gehashte vorm. Hierdoor zijn ze niet direct leesbaar, maar kunnen ze wel worden gekraakt. Dean Pierce, Linux security-engineer bij chipgigant Intel, besloot de wachtwoordhashes met zijn speciale "kraakmachine" te kraken.
De computer van Pierce bestaat uit vier ATI R9 290 videokaarten. Voor het hashen van de wachtwoorden had Ashley Madison het bcrypt-algoritme gebruikt en was er ook van een 'salt' gebruik gemaakt. Dit maakt het veel lastiger om de wachtwoordhashes te kraken. Bij een zwakker algoritme, zoals MD5, is het mogelijk om miljoenen wachtwoordcombinaties per seconde te proberen. In het geval van de gesalte bcrypt-hashes kwam Pierce met zijn computer niet verder dan 156 hashes per seconde.
Verder bleek ook de omvang van het aantal wachtwoordhashes problematisch, waardoor hij 6 miljoen van de 36 miljoen wachtwoordhashes kon inladen. Voor het kraken van de hashes gebruikte hij de RockYou-woordenlijst. RockYou is een bedrijf dat widgets voor sociale media ontwikkelt. In 2009 werd het gehackt, waardoor aanvallers meer dan 32 miljoen wachtwoorden wisten te stelen. Deze wachtwoorden waren in platte tekst opgeslagen en verschenen uiteindelijk op internet. Sindsdien worden de wachtwoorden van RockYou door veel onderzoekers als standaardlijst voor het kraken van wachtwoorden gebruikt.
Kraaktijd
Pierce liet zijn machine vijf dagen aanstaan, waarbij hij uiteindelijk 4.000 wachtwoorden wist te kraken. Dat komt neer op 32,6 gekraakte wachtwoorden per uur. Verder bleek dat er 1191 unieke wachtwoorden tussen zaten. Het meestvoorkomende wachtwoord is "123456", dat 202 keer voorkwam. Verder bleek dat 105 gebruikers het wachtwoord "password" hadden gekozen. Pierce maakte een Top 20 van de meestvoorkomende wachtwoorden. De lijst lijkt erg veel op andere wachtwoordenlijsten die regelmatig worden gepubliceerd.
Volgens de onderzoeker is het waarschijnlijk onmogelijk om elk bcrypt-wachtwoord te kraken, maar zullen in het geval van Ashley Madison uiteindelijk tal van wachtwoorden toch worden achterhaald. Het gaat in dit geval vooral om zwakke wachtwoorden die al op allerlei woordenlijsten voorkomen of eenvoudig via brute force zijn te achterhalen. Zo komen op de lijst van Pierce vooral korte wachtwoorden van minder dan acht karakters voor.
Als iedereen steeds dezelfde lijst gebruikt om wachtwoorden te kraken dan wil ik best geloven dat ook steeds dezelfde wachtwoorden in de top 20 als "gekraakt" verschijnen.
Stel dat het erg makkelijke wachtwoord "Ilovetax" niet voorkomt in RockYou, dan zal het dus ook niet gauw opduiken in nieuwe lijsten laat staan in toptiens van veel voorkomende wachtwoorden.
Maar goed, dat terzijde. Ik betreur wel dat de wereld ineens zoveel preutser is geworden dat iedereen de deelnemers van Ashley Madison zo graag aan de schandpaal genageld ziet worden.
Ik ben wel eens benieuwd of die mensen nog zo enthousiast zijn als er lijsten gepubliceerd worden van welke nickname bij welke persoon hoort van populaire reaguurdersites als telegraaf.nl, powned, geenstijl, fok.nl of dumpster etc.
Mensen roepen het liefst anoniem heel hard over anderen dat ze terecht aan de schandpaal genageld worden. Dan was dat vroegere eieren gooien eerlijker: iedereen kon zien wie er stond te gooien.
Wel jammer dat van het "wie zonder zonde is werpe de eerste steen" niks overgebleven is. In de christelijke leer wordt erg selectief geshopt.
Mensen die alleen kritiek hebben werpen nog geen stenen en veroordelen niet, maar dagen je uit voor een discussie.
Daar kun je serieus op ingaan of je kunt ze afdoen met dit soort opmerkingen, omdat je het gewoon niet wilt horen.
Ik zou je wel de ware betekenis willen uitleggen, maar daar is dit niet het juiste forum voor.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.