image

100 miljoen gestolen LinkedIn-wachtwoorden gekraakt

dinsdag 21 juni 2016, 13:55 door Redactie, 1 reacties

Zo'n 100 miljoen van de 117 miljoen wachtwoordhashes die in 2012 bij sociale netwerksite LinkedIn werden gestolen zijn inmiddels gekraakt. Dat laat Martin Bos van beveiligingsbedrijf TrustedSec weten. Hoewel de gegevens in 2012 werden buitgemaakt, verscheen de database onlangs pas op internet.

Het ging om ruim 164 miljoen e-mailadressen en ruim 177 miljoen wachtwoorden die via het sha-1-algoritme waren gehasht. Van deze 177 miljoen wachtwoordhashes bleken er ruim 117 miljoen uniek te zijn. LinkedIn had geen salting of stretching toegepast om het kraken van de wachtwoordhashes lastiger te maken. Verschillende onderzoekers besloten dan ook de wachtwoordhashes te kraken.

Beveiligingsbedrijf KoreLogic meldde vorige maand al dat het 65% van de wachtwoodhashes in een periode van zo'n 2 uur had gekraakt. Volgens KoreLogic bevat de gestolen database echter 62 miljoen unieke wachtwoordhashes. Uiteindelijk wist het bedrijf er daarvan 50 miljoen te achterhalen. Waarbij KoreLogic de hashes via de eigen 'wachtwoordkraakdienst' kraakte, laat Bosma in zijn uitleg zien hoe de hashes ook op een eenvoudige machine kunnen worden achterhaald.

Op dit moment claimt de onderzoeker zo'n 85% van de ruim 117 miljoen wachtwoordhashes te hebben gekraakt, wat neerkomt op zo'n 100 miljoen wachtwoorden. Via de website HaveIBeenPwned.com kunnen LinkedIn-gebruikers controleren of ze in de gestolen database voorkomen.

Reacties (1)
21-06-2016, 20:40 door Dick99999
Het opmerkelijke van dit rapport is niet dat 85% die gekraakt is. Daarvoor gebruikten zij overigens een niet erg snel systeem dat 209.7 miljoen ongezouten SHA1 hashes kan testen per seconde.
State of the art qua snelheid is heden een systeem met ook slechts 8 GPU's (type Nvidia GTX 1080) dat ~30x zo snel is: het kan 68.8 miljard van die hasshes/sec testen. Zie https://gist.github.com/epixoip/a83d38f412b4737e99bbef804a270c40

Maar wel opmerkelijke vind ik het grote detail van de beschrijving van de gevolgde methodes. Daaruit volgt ook dat dat goede passpharases met random gekozen woorden, gewoon niet gekraakt kunnen worden met die methodes. Ik neem aan dat de gerefereerde KoreLogic en ook Jeremi Gosney (beweert 97.9% gekraakt te hebben) doezelde methoden hebben gebruikt.

Kijk ook naar "@AaronToponce your password hash is not in the dump, it was one of the ones replaced with 'xxx'", https://twitter.com/jmgosney/status/735627351464120320. Als ik dat interpreteer zou het kunnen dat die xxxxxxxx gemarkeerde accounts machtwoorden hebben die niet gekraakt zijn door de aanbieder(s)?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.