image

Onderzoeker zet 306 miljoen gehashte wachtwoorden online

donderdag 3 augustus 2017, 12:29 door Redactie, 9 reacties

Beveiligingsonderzoeker Troy Hunt heeft een verzameling van 306 miljoen gehashte wachtwoorden beschikbaar gemaakt, die websites bijvoorbeeld kunnen gebruiken om gebruikers voor bepaalde wachtwoorden te waarschuwen. Hunt is de man achter Have I Been Pwned. Een zoekmachine waarmee gebruikers in bijna 4 miljard gestolen records kunnen kijken of hun data ooit bij een website is gestolen.

De gegevens in de database van Have I Been Pwned zijn uit allerlei datalekken afkomstig. Hunt maakt gegevens uit datalekken normaliter niet openbaar. Het Amerikaanse National Institute of Standards and Technology adviseerde onlangs dat organisaties gebruikers moeten waarschuwen als ze een wachtwoord kiezen dat ooit bij een datalek is gelekt. Naar aanleiding van dit advies besloot Hunt een deel van de wachtwoordhashes die hij bezit en uit verschillende datalekken afkomstig zijn, te anonimiseren en openbaar te maken. Zelf noemt de onderzoeker deze dataset de "Pwned Passwords".

Websites kunnen de data gebruiken om gebruikers te waarschuwen als ze een wachtwoord kiezen dat in de dataset voorkomt. Het gaat dan bijvoorbeeld om wachtwoorden als 123456 en password. Ook kan de dataset worden gebruikt om op de sha-1-hashes van de wachtwoorden te zoeken. Iets waarvoor Hunt een programmeerinterface (api) heeft ontwikkeld. De dataset is ook te gebruiken om wachtwoorden offline te checken. Het gaat om een 7-Zip-bestand met een omvang van 5,3GB, dat uitgepakt 11,9GB aan ruimte in beslag neemt.

Image

Reacties (9)
03-08-2017, 12:49 door Anoniem
Handige tool om te indexeren wat de meest gebruikte wachtwoorden zijn, en om ge-hashte wachtwoorden te achterhalen.
Ik ga dit in ieder geval nooit maar dan ook nooit gebruiken en raad anderen aan dit ook niet te doen.
03-08-2017, 14:22 door Anoniem
Door Anoniem: Handige tool om te indexeren wat de meest gebruikte wachtwoorden zijn, en om ge-hashte wachtwoorden te achterhalen.
Ik ga dit in ieder geval nooit maar dan ook nooit gebruiken en raad anderen aan dit ook niet te doen.

het zou ook een handige manier zijn om een database vol met geldige wachtwoordhashes op te bouwen :D
03-08-2017, 14:30 door Anoniem
Echt handig is dit niet. Voor hackers is dit de ultieme bijbel om hun password hack Tool te voeren met wachtwoorden en zo het scannen te versnellen.
03-08-2017, 15:29 door Anoniem
Door Anoniem: Echt handig is dit niet. Voor hackers is dit de ultieme bijbel om hun password hack Tool te voeren met wachtwoorden en zo het scannen te versnellen.
Hackers hadden die database grotendeels al (LinkedIn, RockYou, enz.).
03-08-2017, 20:31 door Anoniem
Er zitten wachtwoorden bij van tot 10 jaar terug, toen sommige websitebeheerders het aanpassen van wachtwoorden en mailadressen uitsloten, en vergeten wachtwoorden in platte tekst verstuurden. Inderdaad dus niet handig om deze lijst te publiceren. Mogelijk is dat zelfs strafbaar.
03-08-2017, 21:40 door Anoniem
Goud voor een bibliotheek bouwer van een scraper bijvoorbeeld. Maar hopenlijk wordt je al snel door de settings afgetikt met inloggen = "end of the game". Maar wat is het verschil met het publiceren van deze info en die van bepaalde scans en bijvoorbeeld logfiles van compromiteringsrequests?

Alles tegenwoordig is een kwestie van TRUST online en je kunt dingen ter goeder en terkwader trouw publiceren.

Hier is de grens wel ietwat 'grijs', maar ik denk dat er zeker "spooks" zullen bestaan, die niet anders doen dan gelijkaardige info misbruiken of gebruiken, zoals zij dat liever zullen aanduiden. Het is maar hoe je er naar kijken wil.
04-08-2017, 00:01 door Anoniem
Gevaarlijk zo iets. Als je zo iets publiceert in de USA krijg je gelijk de opmerking, dat je die link niet mag publiceren, omdat het misbruik in de hand zou werken en ongeautoriseerde mensen het kunnen ontdekken.

Security through Obscurity wordt meer en meer overal gepropageerd en ondersteund.

Lees bij voorbeeld eens wat deze researcher overkwam die WannaCry stopte, na DefCon werd hij gearresteerd door de FBI en men weet niet waar hij heen is gebracht. Re: https://motherboard.vice.com/en_us/article/ywp8k5/researcher-who-stopped-wannacry-ransomware-detained-in-us-after-def-con link bron = Motherboard's Joseph Cox

Het lijkt "Nacht und Nebel" wel. Security research kan je zo maar opbreken.
04-08-2017, 00:06 door Anoniem
Door Anoniem: Echt handig is dit niet. Voor hackers is dit de ultieme bijbel om hun password hack Tool te voeren met wachtwoorden en zo het scannen te versnellen.
Echte gebruikte wachtwoorden bij Troy invoeren is niet aan te raden.
Voor de lol een paar wachtwoorden invullen om uit te proberen kan wel.

De suggestie is dat websites de downloadable database gaan downloaden en zullen gebruiken om wachtwoorden van hun gebruikers te keuren. Als het wachtwoord van een gebruiker in de database voorkomt (of als hashes overeenkomen), kan een website vragen om een nieuw wachtwoord, omdat het geen origineel wachtwoord is.
Op zich is dat nog niet zo'n gek idee, maar ik moet het nog zien of er animo voor is.
07-08-2017, 11:28 door Anoniem
Door Anoniem: Echt handig is dit niet. Voor hackers is dit de ultieme bijbel om hun password hack Tool te voeren met wachtwoorden en zo het scannen te versnellen.

Er zijn al lijsten waar 10 jaar werk aan is geweest met compilaties van andere lijsten die op internet te vinden zijn, etc. Ik heb zelf ook van zulke lijsten. Niet dat ik ze ooit gebruikt heb. Het zijn gewoon veelvoorkomende wachtwoorden en woordenboeken.

Ik vind dat wel fijn, bijv. als je ooit een betaalapp of website moet bouwen waar je gekozen wachtwoorden van nieuwe gebruikers even wilt checken tegen zo'n lijst in plaats van een regex op "hoofd/kleine-letters, X cijfers en Y leestekens".
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.