146 miljoen wachtwoord-hashes online gezet
Beveiligingsbedrijf Korelogic heeft de hashes van 146 miljoen wachtwoorden online gezet, om zo het onderzoek naar het kraken van wachtwoorden te bevorderen. Daarnaast moet de publicatie helpen met het handhaven van sterkere wachtwoorden. Een hash is een versleutelde variant van een wachtwoord. In plaats van het wachtwoord door te geven, bijvoorbeeld via een netwerk, geeft men de versleutelde hashwaarde van het wachtwoord door. Als de doorgegeven waarde dezelfde is als de hashwaarde van het originele wachtwoord, dan is hoogstwaarschijnlijk het wachtwoord juist.
"Onderzoekers hebben ruwe gegevens nodig, en echte gegevens zijn beter dan gekunstelde data", aldus Korelogic. De hashes zijn in een 2,5 gigabyte grote tarball verzameld, die via een Torrent is te downloaden.
Reacties (23)
Hmm....
Als ik de wiskunde effe afstof, en aanneem dat voor de wachtwoorden a-z,A-Z en 0-9 wordt gebruikt (62 mogelijkheden per character), dan passen er maar wachtwoorden van 1-5 karakters in die 146 miljoen ( ln(146.000.000) / ln(62) )...
Dat klinkt al meteen een stuk minder spannend dan 146 miljoen hashes...
Als ik de wiskunde effe afstof, en aanneem dat voor de wachtwoorden a-z,A-Z en 0-9 wordt gebruikt (62 mogelijkheden per character), dan passen er maar wachtwoorden van 1-5 karakters in die 146 miljoen ( ln(146.000.000) / ln(62) )...
Dat klinkt al meteen een stuk minder spannend dan 146 miljoen hashes...
04-04-2012, 12:58 door
Friso
Door Anoniem:
Als ik de wiskunde effe afstof, en aanneem dat voor de wachtwoorden a-z,A-Z en 0-9 wordt gebruikt (62 mogelijkheden per character), dan passen er maar wachtwoorden van 1-5 karakters in die 146 miljoen ( ln(146.000.000) / ln(62) )...
Als ik de wiskunde effe afstof, en aanneem dat voor de wachtwoorden a-z,A-Z en 0-9 wordt gebruikt (62 mogelijkheden per character), dan passen er maar wachtwoorden van 1-5 karakters in die 146 miljoen ( ln(146.000.000) / ln(62) )...
Ik snap de relatie tussen het aantal hashes, de mogelijk gebruikte characters en de lengte niet helemaal. Wellicht is mijn wiskundige kennis wat weggezakt, maar kun je me die eens uitleggen?
04-04-2012, 13:04 door
User2048
146 miljoen wachtwoorden zijn 146 miljoen wachtwoorden. Daar is toch geen wiskunde voor nodig?
Door Friso:
Ik snap de relatie tussen het aantal hashes, de mogelijk gebruikte characters en de lengte niet helemaal. Wellicht is mijn wiskundige kennis wat weggezakt, maar kun je me die eens uitleggen?
Door Anoniem:
Als ik de wiskunde effe afstof, en aanneem dat voor de wachtwoorden a-z,A-Z en 0-9 wordt gebruikt (62 mogelijkheden per character), dan passen er maar wachtwoorden van 1-5 karakters in die 146 miljoen ( ln(146.000.000) / ln(62) )...
Als ik de wiskunde effe afstof, en aanneem dat voor de wachtwoorden a-z,A-Z en 0-9 wordt gebruikt (62 mogelijkheden per character), dan passen er maar wachtwoorden van 1-5 karakters in die 146 miljoen ( ln(146.000.000) / ln(62) )...
Ik snap de relatie tussen het aantal hashes, de mogelijk gebruikte characters en de lengte niet helemaal. Wellicht is mijn wiskundige kennis wat weggezakt, maar kun je me die eens uitleggen?
Ik ga 't proberen... ;-)
Bij het gebruik van a-z, A-Z en 0-9 heb je 26 + 26 + 10 =62 mogelijkheden per 'plaats' in een wachtwoord. Met een wachtwoord van 1 karakter heb je 62 mogelijkheden, met een wachtwoord van 2 karakters 62 x 62 wachtwoorden. Meer algemeen: bij een wachtwoord van n karakters heb je 62^n ('^'= tot de macht) mogelijke wachtwoorden.
Om bij het aantal gegeven mogelijkheden weer het aantal posities/karakters uit te rekenen gebruiken we het natuurlijke logaritme - ln(x).
Er geldt:
62 ^ x = 146.000.000
Links en rechts "ln" toepassen:
ln(62 ^ x) = ln(146.000.000)
machtsverheffing mag buiten de ln worden gehaald:
x * ln(62) = ln(146.000.000)
en dan:
x = ln(146.000.000) / ln(62)
x = 4.55
Anoniem 1 heeft gewoon aangenomen dat ze met a-z lower , upper en 0-9 zijn begonnen
dan kan dat alleen maar 1/5 zijn..
point.
dan kan dat alleen maar 1/5 zijn..
point.
04-04-2012, 13:18 door
Nimrod
2,5 gb = 2.684.354.560 bytes / 146.000.000 = 18,39 bytes
18.39 x 8 = 147 bit hashes...
Doet mij denken aan MD5 hashes... (128 bit)
18.39 x 8 = 147 bit hashes...
Doet mij denken aan MD5 hashes... (128 bit)
04-04-2012, 13:21 door
Nimrod
@Anoniem trouwens...
Dafuq ben jij aan het berekenen? 146.000.000 is het aantal wachtwoorden jij gebruikt het als data grote?
dan passen er maar wachtwoorden van 1-5 karakters in die 146 miljoen
Dafuq ben jij aan het berekenen? 146.000.000 is het aantal wachtwoorden jij gebruikt het als data grote?
04-04-2012, 13:58 door
RaceAap
Door Nimrod: 2,5 gb = 2.684.354.560 bytes / 146.000.000 = 18,39 bytes
18.39 x 8 = 147 bit hashes...
Doet mij denken aan MD5 hashes... (128 bit)
18.39 x 8 = 147 bit hashes...
Doet mij denken aan MD5 hashes... (128 bit)
Maar 2.5 gb in een tgz aan tekst data is uitgepakt een stuk groter.
extentie is .tgz dus er zal gzip gebruikt zijn, compressie zou bv. 80% kunnen zijn
2.5 g wordt dan al snel: 4.5g aan netto data
Door RaceAap:
Maar 2.5 gb in een tgz aan tekst data is uitgepakt een stuk groter.
extentie is .tgz dus er zal gzip gebruikt zijn, compressie zou bv. 80% kunnen zijn
2.5 g wordt dan al snel: 4.5g aan netto data
Bovendien heb je het over Gibibytes en niet over Gigabytes ;)Door Nimrod: 2,5 gb = 2.684.354.560 bytes / 146.000.000 = 18,39 bytes
18.39 x 8 = 147 bit hashes...
Doet mij denken aan MD5 hashes... (128 bit)
18.39 x 8 = 147 bit hashes...
Doet mij denken aan MD5 hashes... (128 bit)
Maar 2.5 gb in een tgz aan tekst data is uitgepakt een stuk groter.
extentie is .tgz dus er zal gzip gebruikt zijn, compressie zou bv. 80% kunnen zijn
2.5 g wordt dan al snel: 4.5g aan netto data
04-04-2012, 14:07 door
JorgD
Door Friso:
62^x=146000000 => x = ln(146000) / ln(62)Door Anoniem:
Als ik de wiskunde effe afstof, en aanneem dat voor de wachtwoorden a-z,A-Z en 0-9 wordt gebruikt (62 mogelijkheden per character), dan passen er maar wachtwoorden van 1-5 karakters in die 146 miljoen ( ln(146.000.000) / ln(62) )...
Ik snap de relatie tussen het aantal hashes, de mogelijk gebruikte characters en de lengte niet helemaal. Wellicht is mijn wiskundige kennis wat weggezakt, maar kun je me die eens uitleggen?Als ik de wiskunde effe afstof, en aanneem dat voor de wachtwoorden a-z,A-Z en 0-9 wordt gebruikt (62 mogelijkheden per character), dan passen er maar wachtwoorden van 1-5 karakters in die 146 miljoen ( ln(146.000.000) / ln(62) )...
Door Nimrod: @Anoniem trouwens...
Dafuq ben jij aan het berekenen? 146.000.000 is het aantal wachtwoorden jij gebruikt het als data grote?
dan passen er maar wachtwoorden van 1-5 karakters in die 146 miljoen
Dafuq ben jij aan het berekenen? 146.000.000 is het aantal wachtwoorden jij gebruikt het als data grote?
Inderdaad - 146 miljoen wachtwoorden in de torrent. Maar: hoeveel is dat?!? Hoeveel wachtwoorden kan je maken met een 'standaard' set (van 62 tekens) en 8 posities? Dat zijn dus 62 ^ 8 = 218 biljoen wachtwoorden. Dat is dus heel wat minder dan die 146 miljoen die er in de torrent zitten...
Je kan dus denken dat je een enorme database met wachtwoorden/hashes binnenhaalt met deze torrent, maar op het grote geheel stelt 't weinig voor en is het maar een fractie van de mogelijkheden...
04-04-2012, 14:37 door
N4ppy
lang password => hash1
kort pasword => hash2
hash1.length == hash2.length
hash.length != passchars
kort pasword => hash2
hash1.length == hash2.length
hash.length != passchars
04-04-2012, 14:39 door
N4ppy
ps waarom nou torrent? Dat mag niet van brein! ;)
04-04-2012, 14:42 door
Macamba
Dan zijn of de wachtwoorden kort of lang maar niet volledig. Dan zijn betere hash tables op inet te vinden, bijvoorbeeld:
- http://renderlab.net/projects/WPA-tables/
- http://ophcrack.sourceforge.net/
Maar welk HASH algoritme betreft het eigenlijk en voor welke toepassingen bijv. wireless, LMhash (Microsoft Windows)?
- http://renderlab.net/projects/WPA-tables/
- http://ophcrack.sourceforge.net/
Maar welk HASH algoritme betreft het eigenlijk en voor welke toepassingen bijv. wireless, LMhash (Microsoft Windows)?
04-04-2012, 14:58 door
RickDeckardt
Illegaal password hashes downloaden. tsk tsk tsk. Tim Kuik disapproves
04-04-2012, 14:59 door
RaceAap
1 file 4,6G met plaintext md5 hashes met 139.444.502 regels erin
Daarnaast nog een paar 100 mb's aan files met andere hashes ( SHA1, longer salts, etc )
[offtopic]
@N4ppy: torrent mag zeker wel, je mag alleen geen copyrighted spul uploaden. Er zijn zat legale torrents te vinden zoals die van SXSW.
[/offtopic]
Daarnaast nog een paar 100 mb's aan files met andere hashes ( SHA1, longer salts, etc )
[offtopic]
@N4ppy: torrent mag zeker wel, je mag alleen geen copyrighted spul uploaden. Er zijn zat legale torrents te vinden zoals die van SXSW.
[/offtopic]
04-04-2012, 16:10 door
Friso
Door Anoniem:
Ik ga 't proberen... ;-)
Bij het gebruik van a-z, A-Z en 0-9 heb je 26 + 26 + 10 =62 mogelijkheden per 'plaats' in een wachtwoord. Met een wachtwoord van 1 karakter heb je 62 mogelijkheden, met een wachtwoord van 2 karakters 62 x 62 wachtwoorden. Meer algemeen: bij een wachtwoord van n karakters heb je 62^n ('^'= tot de macht) mogelijke wachtwoorden.
Om bij het aantal gegeven mogelijkheden weer het aantal posities/karakters uit te rekenen gebruiken we het natuurlijke logaritme - ln(x).
Er geldt:
62 ^ x = 146.000.000
Links en rechts "ln" toepassen:
ln(62 ^ x) = ln(146.000.000)
machtsverheffing mag buiten de ln worden gehaald:
x * ln(62) = ln(146.000.000)
en dan:
x = ln(146.000.000) / ln(62)
x = 4.55
Tot daar was ik zelf ook gekomen. Waar ik het niet meer snap is dat er volgens Anoniem een relatie is tussen het aantal wachtwoorden (146 mio) en een aanname (62 verschillende tekens) en dat daarmee kan worden aangetoond dat de wachtwoorden tot max 5 tekens lang zijn...Door Friso:
Ik snap de relatie tussen het aantal hashes, de mogelijk gebruikte characters en de lengte niet helemaal. Wellicht is mijn wiskundige kennis wat weggezakt, maar kun je me die eens uitleggen?
Door Anoniem:
Als ik de wiskunde effe afstof, en aanneem dat voor de wachtwoorden a-z,A-Z en 0-9 wordt gebruikt (62 mogelijkheden per character), dan passen er maar wachtwoorden van 1-5 karakters in die 146 miljoen ( ln(146.000.000) / ln(62) )...
Als ik de wiskunde effe afstof, en aanneem dat voor de wachtwoorden a-z,A-Z en 0-9 wordt gebruikt (62 mogelijkheden per character), dan passen er maar wachtwoorden van 1-5 karakters in die 146 miljoen ( ln(146.000.000) / ln(62) )...
Ik snap de relatie tussen het aantal hashes, de mogelijk gebruikte characters en de lengte niet helemaal. Wellicht is mijn wiskundige kennis wat weggezakt, maar kun je me die eens uitleggen?
Ik ga 't proberen... ;-)
Bij het gebruik van a-z, A-Z en 0-9 heb je 26 + 26 + 10 =62 mogelijkheden per 'plaats' in een wachtwoord. Met een wachtwoord van 1 karakter heb je 62 mogelijkheden, met een wachtwoord van 2 karakters 62 x 62 wachtwoorden. Meer algemeen: bij een wachtwoord van n karakters heb je 62^n ('^'= tot de macht) mogelijke wachtwoorden.
Om bij het aantal gegeven mogelijkheden weer het aantal posities/karakters uit te rekenen gebruiken we het natuurlijke logaritme - ln(x).
Er geldt:
62 ^ x = 146.000.000
Links en rechts "ln" toepassen:
ln(62 ^ x) = ln(146.000.000)
machtsverheffing mag buiten de ln worden gehaald:
x * ln(62) = ln(146.000.000)
en dan:
x = ln(146.000.000) / ln(62)
x = 4.55
In het bestand zitten hashes en geen daadwerkelijke wachtwoorden. De bestandsgrootte doet er wat dat betreft dus minder toe, omdat een hash van een kort wachtwoord zeer waarschijnlijk even lang is als een hash van een lang wachtwoord (als er bijvoorbeeld MD5 hashes worden gebruikt).
Komt nog bij dat meerdere wachtwoorden in theorie tot dezelfde hash kunnen leiden. Het bestand bevat wachtwoorden die met verschillende hashing methoden zijn gehasht, wat impliceert dat er volgens bij doublures in kunnen zitten (als je kijkt naar de originele wachtwoorden). Het bestand is alleen ontdubbeld op hash-niveau.
Ik kan me wat dat betreft wel vinden in de opmerking van Nimrod
Door Nimrod: @Anoniem trouwens...
Dafuq ben jij aan het berekenen? 146.000.000 is het aantal wachtwoorden jij gebruikt het als data grote?
dan passen er maar wachtwoorden van 1-5 karakters in die 146 miljoen
Dafuq ben jij aan het berekenen? 146.000.000 is het aantal wachtwoorden jij gebruikt het als data grote?
04-04-2012, 17:14 door
Fwiffo
Door Friso: Tot daar was ik zelf ook gekomen. Waar ik het niet meer snap is dat er volgens Anoniem een relatie is tussen het aantal wachtwoorden (146 mio) en een aanname (62 verschillende tekens) en dat daarmee kan worden aangetoond dat de wachtwoorden tot max 5 tekens lang zijn...
In het bestand zitten hashes en geen daadwerkelijke wachtwoorden. De bestandsgrootte doet er wat dat betreft dus minder toe, omdat een hash van een kort wachtwoord zeer waarschijnlijk even lang is als een hash van een lang wachtwoord (als er bijvoorbeeld MD5 hashes worden gebruikt).
Je hebt probleem A en probleem B. Anoniem 12:17 stelt dat het probleem met deze hashes even moeilijk is als het brute forcen van 1-5 tekens alphanumiek (dezelfde 'entropie' om een moeilijk woord te gebruiken). Hiermee toont hij aan dat deze lijst eigenlijk niet zoveel voorstelt.In het bestand zitten hashes en geen daadwerkelijke wachtwoorden. De bestandsgrootte doet er wat dat betreft dus minder toe, omdat een hash van een kort wachtwoord zeer waarschijnlijk even lang is als een hash van een lang wachtwoord (als er bijvoorbeeld MD5 hashes worden gebruikt).
Verder lijken mensen bij hun 'alternatieve' berekeningen hier te vergeten dat je er met alleen de 'hash' niet bent. Dan heb je alleen een melding "Ja, het wachtwoord zit in de lijst".
04-04-2012, 19:30 door
Neusbeer
Het is gewoon een cumulatief van alle Lulzsec's lijstjes en verder openbaar gepubliceerde lijsten
(openwall,rockyou list,enz)
Het is wel ff leuk om m'n nieuwe processor te testen (en m'n opencl functionaliteit)
en uiteraard m'n eigen dictionaries.. :D
(openwall,rockyou list,enz)
Het is wel ff leuk om m'n nieuwe processor te testen (en m'n opencl functionaliteit)
en uiteraard m'n eigen dictionaries.. :D
04-04-2012, 20:43 door
[Account Verwijderd]
[Verwijderd]
goeie discussie!
http://gifsforum.com/images/image/arguing%20on%20the%20internet/grand/arguing_on_the_internet.jpg
http://gifsforum.com/images/image/arguing%20on%20the%20internet/grand/arguing_on_the_internet.jpg
05-04-2012, 09:32 door
dutchfish
Voor MD5 hebben we geen DB of rainbow tables nodig.
Zie: http://www.youtube.com/watch?v=zEwWvVP_RU0
FPLA en nog een á twee jaar en SHA1 kan ook in de prullenbak.
Mijn 2 centen
Zie: http://www.youtube.com/watch?v=zEwWvVP_RU0
FPLA en nog een á twee jaar en SHA1 kan ook in de prullenbak.
Mijn 2 centen
06-04-2012, 10:42 door
Invader Zim
Friso,
De bestandsgrootte heeft er nix mee te maken. Of het bestand nou 2,5 Gb of 4,5Gb is, er staan 146miljoen wachtwoorden in. 146miljoen is het enige getal dat hier van belang is. Uitgaande van 146miljoen wachtwoorden en 62 mogelijkheden per positie (a-z,A-Z,0-9) heb je dus wanneer je met de 5 positie bezig bent alle 146miljoen al gehad (zie berekening @ 13:10).
De grootte van het bestand waar die wachtwoorden instaan is dus niet van belang.
De bestandsgrootte heeft er nix mee te maken. Of het bestand nou 2,5 Gb of 4,5Gb is, er staan 146miljoen wachtwoorden in. 146miljoen is het enige getal dat hier van belang is. Uitgaande van 146miljoen wachtwoorden en 62 mogelijkheden per positie (a-z,A-Z,0-9) heb je dus wanneer je met de 5 positie bezig bent alle 146miljoen al gehad (zie berekening @ 13:10).
De grootte van het bestand waar die wachtwoorden instaan is dus niet van belang.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
