image

81.000 gekraakte Stratfor-wachtwoorden op de pijnbank

dinsdag 3 januari 2012, 10:59 door Redactie, 2 reacties

Het bestand met gestolen Stratfor klantgegevens dat net voor de jaarwisseling werd gelekt, en informatie over 270 Nederlanders bevatte, bevatte ook een schat aan wachtwoord-hashes. The Tech Herald besloot de 860.000 wachtwoord-hashes te kraken en kwam tot een pijnlijke, maar verwachte conclusie. "Het beheer en maken van wachtwoorden bevindt zich nog steeds in de middeleeuwen."

Strafor is een Amerikaans inlichtingenbedrijf en heeft bedrijven en overheidsinstanties als klant. "Deze organisaties hebben de middelen om sterke wachtwoorden af te dwingen. De individuen die deze organisaties vertegenwoordigen, hebben geen enkel excuus voor het kiezen van zulke verschrikkelijke inloggegevens. Ze zouden om authenticatie en toegang moeten geven, en toch kiezen ze 'qwerty' als wachtwoord", stelt de IT-website.

Advies
In totaal werden 81.000 wachtwoord-hashes gekraakt. De Stratfor website adviseerde klanten om minimaal zes karakters te gebruiken, maar stelde dit niet verplicht. Daardoor was het ook mogelijk om een wachtwoord van één karakter te kiezen. Het maximaal aantal te kiezen karakters was 23. 49 van de gekraakte wachtwoorden bestond uit één karakter, terwijl 51 wachtwoorden tussen de 15 en 23 karakters lang waren.

"Het registratieformulier deed niets om sterke wachtwoorden aan te moedigen of waardeloze te voorkomen. Dit is verrassend voor een bedrijf dat inlichtingen verzamelt en deelt."

Password
Volgens The Tech Herald had het meer wachtwoorden kunnen kraken, als het langer was doorgegaan. Nu besteedde het iets minder dan vijf uur om de verzameling hashes op te zoeken. De website stelde verschillende woordenlijsten samen, onder andere met Nederlandse woorden en zinnen, alsmede voor- en achternamen. De meeste wachtwoorden (23.400) waren zes karakters lang, gevolgd door 21.000 wachtwoorden bestaande uit acht karakters.

Uiteindelijk leverde het een grote lijst met wachtwoorden op, zoals 12345stratfor, Password123, qwerty123456, basketball, hello123, intelligence, lawenforcement en surveillance4u.

Reacties (2)
03-01-2012, 22:41 door Jacob Boersma
Tja, het is natuurlijk waar dat veel van de gekraakte wachtwoorden erg slecht gekozen zijn (zelf vond ik het wachtwoord '******' dat er ook tussen zat, het meest origineel, zij het niet echt secure).
Maar om nou te zeggen dat 'Het [...] maken van wachtwoorden zich nog steeds in de middeleeuwen [bevindt]' is misschien wat overdreven. Tot nu toe heeft Tech Herald <10% van de wachtwoorden gekraakt. Ze zeggen wel dat ze meer hadden kunnen kraken als ze langer door waren gegaan, maar dat is natuurlijk altijd waar als je eenmaal gaat brute forcen. Het is best mogelijk dat de overige 90% een wachtwoord gebruikte dat voldoende secure was. Uit de data valt dat niet op te maken op dit moment.

Wat wel zorgelijk is, is dat Stratfor niet controleerde op minimale wachtwoordlengte en gewoon wachtwoorden toestond van alleen cijfers of alleen kleine letters of allemaal dezelfde tekens. Als slimme bedrijven nou eens dergelijke input checks bij hun password registratie gaan toepassen, wordt e.e.a. al een stuk veiliger.
03-01-2012, 23:54 door Anoniem
ach gebruik een makkelijk geheugen steuntje, voorbeeld:

1ewh2ep

twee emmertjes water halen twee emmertjes pompen
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.