image

Top 20 wachtwoorden uit gestolen phpBB database *Update*

zaterdag 7 februari 2009, 16:46 door Redactie, 15 reacties

Deze week lukte het een hacker om de website van de populaire forumsoftware phpBB.com te kraken en de accounts van zo'n 400.000 gebruikers te stelen, bestaande uit namen, e-mailadressen en gehashte wachtwoorden. Via een script wist hij meer dan 28.000 wachtwoorden te achterhalen, omdat die via een unsalted MD5 algoritme waren gehasht. Het incident heeft wat weg van de diefstal van 30.000 MySpace wachtwoorden, hoewel die een stuk complexer waren, zo merkt Robert Graham op.

Onderzoekers wisten via een phishingaanval van zo'n 30.000 MySpace gebruikers in 2006 de wachtwoorden te stelen. In tegenstelling tot phpBB vereist de sociale netwerksite dat wachtwoorden tussen de 6 en 10 karakters bevatten, waarvan tenminste één cijfer of leesteken. Bij phpBB was deze vereiste niet aanwezig, waardoor de wachtwoorden korter zijn en vaak alleen uit woorden bestaan.

Welkom
Graham downloadde het bestand, verkrijgbaar via The Piratebay, met de wachtwoorden en ontdekte dat 65% in een eenvoudig Engels woordenboek is terug te vinden. Gebruikt men een "hacker" woordenboek, dan geldt dit zelfs voor 94% van de wachtwoorden. Verder bleek dat 16% van de wachtwoorden overeenkomt met een voornaam, waarbij Joshua, Thomas, Michael en Charlie het populairst zijn. Veertien procent zijn toetsenbord patronen, zoals "1234", "qwerty" en "asdf". Variaties van het woord "password" waren goed voor vier procent, denk aan "drowssap", "passw0rd" en "password1".

Een ander deel, vijf procent van de gebruikers, haalt inspiratie voor wachtwoorden uit bekende films, televisieseries en muziek. 4% kijkt voor het verzinnen van een wachtwoord naar dingen in de buurt, zoals "samsung", "dell" en "apple". Hieronder de lijst van de Top20 wachtwoorden. Ook Nederlandse gebruikers zijn in de grote lijst terug te herkennen, zo gebruiken sommigen het wachtwoord "wachtwoord" of "welkom".

  1. "123456" (3.03%)
  2. "password" (2.13%)
  3. "phpbb" (1.45%)
  4. "qwerty" (0.91%)
  5. "12345" (0.82%)
  6. "12345678" (0.59%)
  7. "letmein" (0.58%)
  8. "1234" (0.53%)
  9. "test" (0.50%)
  10. "123" (0.43%)
  11. "trustno1" (0.36%)
  12. "dragon" (0.33%)
  13. "abc123" (0.31%)
  14. "123456789" (0.31%)
  15. "111111" (0.31%)
  16. "hello" (0.30%)
  17. "monkey" (0.30%)
  18. "master" (0.28%)
  19. "killer" (0.22%)
  20. "123123" (0.22%)

Update 9 februari 10:00
Raimon Meuldijk, phpBB Styles Team Member, laat weten dat het om de wachtwoorden van de phpBB2 conversie gaat. "Nadat phpBB.com is geconverteerd naar phpBB3 hebben deze gebruikers zich nog nooit aangemeld, aangezien phpBB3 een nieuwe salted-password methode gebruikt waarbij je minimaal 6 tekens verplicht voor een wachtwoord moet invoeren. Alle gebruikers die zich hebben aangemeld na de conversie van phpBB3 worden automatisch omgezet naar de nieuwe hasing methode, dus als je je pas hebt aangemeld op phpBB.com, is het erg onwaarschijnlijk dat je wachtwoord is gestolen."
Reacties (15)
07-02-2009, 17:07 door Anoniem
Je moet dit met een korrel zout nemen.

De meeste accounts op phpbb zijn van mensen die phpbb daar willen testen voor ze het zelf gaan gebruiken. Ik heb dat ook ooit gedaan en dan ga je inderdaad niet een ingewikkeld of super veilig paswoord nemen. Liefst niet zelfs! Want als dat gekraakt wordt (zoals nu) en ze koppelen je echt wachtwoord aan je (gebruikelijke) username dan zijn de gevolgen veel erger.

Hoewel erg veel wachtwoorden in de wereld erg eenvoudig zijn, in de aard van "password" etc, zijn deze percentages niet echt representatief.

Dark
07-02-2009, 17:54 door spatieman
leuk om die torrent link te posten.
kan ik meteen zien wat mijn passwordt er was.
hehe.....
07-02-2009, 17:59 door spatieman
K***t...
gevonden nog ook....
07-02-2009, 19:17 door [Account Verwijderd]
[Verwijderd]
07-02-2009, 19:38 door Anoniem
Door IceyoungZo die lijst kan dan weer door Hackers gebruikt worden bij volgende aanvallen want die is wel representatief voor de gemiddellde gebruiker

en bedankt.
Alsof die tien nou nog niet bekend waren.

Door AnoniemJe moet dit met een korrel zout nemen.

De meeste accounts op phpbb zijn van mensen die phpbb daar willen testen voor ze het zelf gaan gebruiken. Ik heb dat ook ooit gedaan en dan ga je inderdaad niet een ingewikkeld of super veilig paswoord nemen. Liefst niet zelfs! Want als dat gekraakt wordt (zoals nu) en ze koppelen je echt wachtwoord aan je (gebruikelijke) username dan zijn de gevolgen veel erger.

Hoewel erg veel wachtwoorden in de wereld erg eenvoudig zijn, in de aard van "password" etc, zijn deze percentages niet echt representatief.

Dark
Agree.
07-02-2009, 20:16 door Anoniem
Maar natuurlijk, hou lekker alles geheim, misschien letten ze er nu eens op dat ze sterke wachtwoorden gebruiken
07-02-2009, 20:31 door Bill Torvalds
Door IceyoungZo die lijst kan dan weer door Hackers gebruikt worden bij volgende aanvallen want die is wel representatief voor de gemiddellde gebruiker

en bedankt.

Er was eerst een list van top 500 meest gebruikte wachtwoorden ik denk dat een cracker/scriptkiddie daar meer aan heeft, en die lijst zag er heel anders uit dus de 1e reactie hiervan kan wel kloppen.
07-02-2009, 20:51 door Bitwiper
Door IceyoungZo die lijst kan dan weer door Hackers gebruikt worden bij volgende aanvallen want die is wel representatief voor de gemiddellde gebruiker

en bedankt.
Dit soort lijsten zijn allang te vinden, bijv. bij zogenaamde "writeups" van malware analyses (zie bijv. [url=http://securityresponse.symantec.com/en/aa/security_response/writeup.jsp?docid=2008-123015-3826-99&tabid=2]deze W32.Downadup.B[/url] of [url=http://www.symantec.com/security_response/writeup.jsp?docid=2006-051114-5327-99&tabid=2]deze Backdoor.Zyklobot[/url] writeups van Symantec).
Door Bill TorvaldsEr was eerst een list van top 500 meest gebruikte wachtwoorden ik denk dat een cracker/scriptkiddie daar meer aan heeft, en die lijst zag er heel anders uit dus de 1e reactie hiervan kan wel kloppen.
Bedoel je [url=http://www.whatsmypass.com/?p=415]deze[/url]?

[url=http://avi.alkalay.net/articlefiles/2008/11/compromised-passwords.txt]Hier[/url] staan er nog wat meer....

[url=http://www.google.com/search?hl=en&q=admin+nimda+letmein+manager+access+sesame&btnG=Search]Googlen naar bijv. admin nimda letmein manager access sesame[/url] doet wonderen...
07-02-2009, 22:45 door Anoniem
Leuk even gekeken wat mijn wachtwoord was bij phpbb, hij staat iig niet in de top 500.. :)

Iets als GY5VaIoc lijkt me wel sterk genoeg toch.
08-02-2009, 09:04 door [Account Verwijderd]
[Verwijderd]
08-02-2009, 22:48 door Derky
Ja redactie erg fijn dat jullie even linken naar de torrent zodat de 400.000 accounts (of te wel e-mailadressen) nog verder verspreid worden. (waaronder de mijne)

*schopt phpBB.com teamlid naar dit artikel*
09-02-2009, 09:29 door Anoniem
Fijn, daar gaat je privacy... Snel mijn wachtwoorden aanpassen... :) op de honderden websites waar ik lid ben, gaat nooit lukken vrees ik. Voortaan maar een dummy wachtwoord verzinnen voor forums welke blijkbaar niet 100% veilig zijn.
09-02-2009, 09:32 door [Account Verwijderd]
[Verwijderd]
09-02-2009, 13:27 door spatieman
at de aninoem.MAW, jij gebruikt dus overal het zelfde phpbb passwordt????????
doem he....
12-02-2009, 20:44 door Anoniem
Door AnoniemJe moet dit met een korrel zout nemen.

De meeste accounts op phpbb zijn van mensen die phpbb daar willen testen voor ze het zelf gaan gebruiken. Ik heb dat ook ooit gedaan en dan ga je inderdaad niet een ingewikkeld of super veilig paswoord nemen. Liefst niet zelfs! Want als dat gekraakt wordt (zoals nu) en ze koppelen je echt wachtwoord aan je (gebruikelijke) username dan zijn de gevolgen veel erger.

Hoewel erg veel wachtwoorden in de wereld erg eenvoudig zijn, in de aard van "password" etc, zijn deze percentages niet echt representatief.

Dark
Misschien heb je wel gelijk maar niet helemaal. Ik ben systeembeheerder en kom regelmatig mensen tegen die dit soort wachtworden gebruiken op hun werk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.