Langste gekraakte wachtwoorden Last.fm 46 karakters lang
Vorige week werd bekend dat aanvallers in 2012 bij de populaire muziekdienst Last.fm de gegevens van 43 miljoen gebruikers hadden buitgemaakt, waaronder versleutelde wachtwoorden. De wachtwoorden waren echter met het zwakke md5-algoritme gehasht.
Er was daarnaast geen salting of stretching gebruikt om het kraken van de wachtwoordhashes lastiger te maken. De website LeakedSource wist zodoende 96% van de wachtwoordhashes in 2 uur te achterhalen. Dit leverde een overzicht van de 50 meestgebruikte wachtwoorden op. De website heeft nu echter ook een overzicht van de 50 langste wachtwoorden die het wist te kraken online gezet.
De twee langste wachtwoorden zijn 46 karakters lang, namelijk "alapdanceissomuchbetterwhenthestripperiscrying" en "perseusandtheseamonsterperseusandtheseamonster". Het herhalen van meerdere woorden als wachtwoord komt vaker in het overzicht terug, zoals "WthAmIDoingHereWthAmIDoingHereWthAmIDoingHere". Ook waren er gebruikers die bijvoorbeeld 42 keer hetzelfde karakter als wachtwoorden hadden. Tevens was er een gebruiker die een bekend cross-site scripting-voorbeeld als wachtwoord had gekozen.
Het kraken van langere wachtwoorden kost over het algemeen meer tijd dan bij korte wachtwoorden het geval is, zeker als er sterkere hashingalgoritmes worden gebruikt. Gebruikers vergroten hiermee de kans dat een datalek wordt ontdekt voordat hun wachtwoordhash is gekraakt. Zo waren er 255.000 accounts die het wachtwoord "123456" hadden, kwam "password" bijna 93.000 keer voor en waren er 66.000 accounts die via het wachtwoord "lastfm" inlogden.
Wie heeft het antwoord??
Wie heeft het antwoord??
Dat komt omdat die site heel naief kijkt naar hoe lang het zou duren voor je iets van die lengte gegarandeerd hebt gekraakt door eerst AAAAA te proberen, dan AAAAB etc. Maar de gebruikte wachtwoorden zijn een combinatie van woorden die in het woordenboek staan, en dat zijn er veeeel minder dan alle mogelijke random lettercombinaties. Maar zelfs dan zijn zulke lange wachtwoorden vaak niet te kraken, hier draait het er om dat het programma wat de woorden samenvoegde ook probeerde het wachtwoord 2× achter elkaar te zetten, wat bij 2 van de 3 lange wachtwoorden zo is
dan liggen ook de wachtwoorden grotendeels op straat. Alle "slimme wactwoordconstructies" die je bedenkt worden
gewoon toegevoegd aan de kraker.
De nadruk moet daarom blijven liggen op het ontoegankelijk maken van de wachtwoord databases.
De 1e stap kan zijn het uit PHP verwijderen van de functie mysql_query.
Wie heeft het antwoord??
Combinatie van brute force en dic attack verneem ik, je doet eerst een brute force zo heb je korte en makkelijke wachtwoorden tot ongeveer 10-12 karakter gefiltered. vervolgens voor de moeilijkere gebruik je custom made passwordlists.
verschil van twee uur en miljarden jaren niet verklaren, dat kan alleen door het verschil tussen een bruteforce en een woordenboekaanval te nemen
Zie: http://php.net/manual/en/function.mysql-query.php waar staat: " This extension [mysql_query] was deprecated in PHP 5.5.0, and it was removed in PHP 7.0.0".
Wie heeft het antwoord??
Misschien stond het wachtwoord al in een van de MD5 rainbow tables?
Bij een goede hashing zou het toch niet uit moeten maken of elk deel van je wachtwoord origineel is, of dat het drie of vier keer hetzelfde stuk is?
Wie heeft het antwoord??
Die site is misleidend. De tijd om een wachtwoord te kraken is niet afhankelijk van de lengte van het wachtwoord maar
van de volgorde van de geprobeerde wachtwoorden. Als een wachtwoordkraker als eerste wachtwoord jouw wachtwoord
probeert dan heeft ie het meteen gevonden en niet na miljarden jaren. Of jouw wachtwoord nou "password" is of
"fuVbnryY2ow5jXh94agLLXhs3A3yrtnDGnCPuKmSsceeDCmeWotDuk8eEiv7ViDD" dat maakt daarbij helemaal niets
uit. Alleen zullen veel kraakprogrammas eerder "password" proberen dan dat lange ding, omdat ze uit ervaring weten
dat ze dan meer succes hebben. Echter een garantie is dat niet.
Zie: http://php.net/manual/en/function.mysql-query.php waar staat: " This extension [mysql_query] was deprecated in PHP 5.5.0, and it was removed in PHP 7.0.0".
Tja maar dan is er weer de functie mysqli_query. Die moet OOK verwijderd worden!!!
Als iedereen zou programmeren met mysqli_prepare en mysqli_execute (en dan zonder de geconstrueerde query met
parameters aan mysqli_prepare te geven uiteraard!!!) dan zou het hele probleem opgelost zijn.
Maar ja dat leer je niet in PHP+MySQL for dummies. Dus dan houdt het op.
Wie heeft het antwoord??
Maar ik neem aan dat deze site een aanname doet, ze weten/vragen namelijk ook niet of het in base64 of in md5 gehashd is.
misschien hebben ze het juist wel over brute force aanvallen?
Wie heeft het antwoord??
Beetje vreemd verhaal inderdaad - ik kan er geen goede verklaring voor vinden en hoor hem hier ook niet terug.
Heb je een rainbowtabel met veel gebruikte voorkomens dan kan ik me kraken van de lange strings goed voorstellen.
Dan wordt het napluizen of dit speelt
Uiteraard fantastisch - werkelijk waar! - dat hierboven gediscussieerd wordt over hashes en zo al meer waar ik niets van begrijp; misschien off topic: maar hier gaan we - vind ik - wèl voorbij aan iets van dramatische aard:
Als ik de in het redactioneel artikel gevolgde link lees en daar zie dat nummer twee op de lijst van meestgebruikte wachtwoorden 'password' is, zou ik het toch ook ècht in mijn broek moeten doen van het lachen, was dit niet zo treurig.
Feitelijk ìs het dus treurig, en het toont dat het internetverkeer een spiegel is van het verkeer in de realiteit.
Een méér dan enige vorm van verantwoordelijkheid is ver te zoeken. En in de IT sector is er ten aanzien van de clientèle zelfs geen handhaving van de orde zoals politie/opsporingsdiensten in de realiteit doet (hoewel ik aan voldoende handhaving daar steeds vaker twijfel; op fietspaden heerst tegenwoordig complete anarchie) maar dat terzijde.
Verantwoordelijkheid op een goed spoor te krijgen ligt volgens mij vooraan op de lijst van hoe internet veilig te gebruiken, maar hier wordt al jaren op gehamerd en het heeft als je het wachtwoordlijstje uit het artikel mag geloven (waarom zou je eraan twijfelen overigens?) volgens mij ook echt totaal geen zin het - excuseer - nonchalante klikvee ervan te overtuigen dat 'password' echt geen wachtwoord is.
Wie heeft het antwoord??
De onderzoekers hadden toegang tot de wachtwoorden die in de gebruikers database waren opgeslagen. Die waren zwak beschermt. Je kunt je voorstellen dat als wachtwoorden in gewone 'plaintext' waren opgeslagen er vrijwel geen tijd nodig was geweest om de wachtwoorden 'te kraken'. Met de gebruikte, zwakke, versleuteling duurde het gewoon wat langer.
Testen van sterkte gebeurt doorgaans op de aanname dat het door de server versleutelde wachtwoord niet beschikbaar, dan wel niet kraakbaar is, en alles (slim) uitproberen de enige manier van kraken is.
Bij een goede hashing zou het toch niet uit moeten maken of elk deel van je wachtwoord origineel is, of dat het drie of vier keer hetzelfde stuk is?
De enige garantie die je van een goede hash krijgt, is dat "proberen" de enige manier is om de input te zoeken die uit de hash kwam .
Er zijn veel te veel mogelijkheden om "alles" te proberen .
Maar van de reeks mogelijkheden die je kunt proberen loont het dus erg om te zoeken op de manier zoals mensen passwords /passphrases kiezen .
En het blijkt dat ook relatief lange (normale) zinnen met variaties erop nog in de set zitten die password krakers gebruiken, en dat daar nog rendement uit komt.
Wie heeft het antwoord??
Alle die wachtwoorden zijn niet gekraakt..!! Maar het wachtwoord van de Database.. En als de wachtwoordenlijst in database niet goed beveiligd is kan deze in plain tekst omgezet worden. Dus als je al jou 'moeilijke' wachtwoorden in een bestand stopt en dat bestand met "PASSWORD" beveiligd zijn alle moeilijke wachtwoorden zeer makkelijk te achterhalen..
Nu het dan toch over wachtwoorden gaat: ik vind dat ze wereldwijd een NORM moeten aanmeten wat betreft wachtwoorden. Zo heeft iedere website (of whatever) zijn eigen criteria omtrent wachtwoorden. De een Kan GEEN moeilijke tekens hebben en de andere wil perse Getallen of Hoofd- en kleine letters gemengd. Ik vind dat met Wachtwoorden ALLE TEKENS in ELKE VOLGORDE mag worden gebruikt met een minimum van 8 tekens en geen maximum.
Als ik de in het redactioneel artikel gevolgde link lees en daar zie dat nummer twee op de lijst van meestgebruikte wachtwoorden 'password' is, zou ik het toch ook ècht in mijn broek moeten doen van het lachen, was dit niet zo treurig.
Nee dat is niet treurig, dat is juist heel goed!
Je moet voor nutteloze logins zoals bij last.fm nooit je wachtwoord gebruiken wat je ook voor belangrijke logins zoals
van je e-mail of je bank gebruikt.
Dus een ander wachtwoord. Nou kun je nerdy gaan doen en zo'n wachtwoord beheer tool gaan gebruiken, maar voor
de gemiddelde internetter is dat een brug tever en ook totaal onnodig: die gebruikt op last.fm gewoon het wachtwoord
123456 of password of lastfm en daarmee is zijn login afdoende beveiligd. Dat je vaak dit soort simpele wachtwoorden
ziet betekent dat veel mensen het goed doen met betrekking tot wachtwoord gebruik bij belangrijke en niet belangrijke
sites.
https://www.youtube.com/watch?v=7U-RbOKanYs
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.