image

2 miljoen LinkedIn-wachtwoorden gekraakt

zondag 10 juni 2012, 08:53 door Redactie, 4 reacties

Een beveiligingsonderzoeker heeft op eenvoudige wijze twee miljoen LinkedIn-wachtwoorden weten te kraken, wat aangeeft hoe zwak de wachtwoorden zijn. Deze week verscheen een bestand met 6,5 miljoen gecodeerde wachtwoorden, die mogelijk van 12,5 miljoen LinkedIn-gebruikers zijn. Speciaal voor het verschijnen van het bestand, werd er een update voor wachtwoordkraker John the Ripper ontwikkeld om de LinkedIn-wachtwoorden efficiënter te kraken.

Woordenboek
Onderzoeker Francois Pesce van Qualys besloot op een oude computer, zonder snelle videokaart en rainbow table, de wachtwoord-hashes te lijf te gaan. Hiervoor gebruikte hij naar zeggen oude vertrouwde woordenboeken en zelf gemaakte regels .Pesce begon de aanval met een standaard woordenboek van minder dan 4.000 worden, waarbij er vervolgens het cijfer 1 aan elk woord werd toegevoegd. Toen hij naar de incrementele mode overstapte om eerst de meest waarschijnlijke wachtwoorden te proberen, had hij na 4 uur al 900.000 wachtwoorden gekraakt.

Vervolgens gebruikte hij een aantal woordenboeken gebaseerd op bestaande wachtwoordlijsten. Dit leverde in minder dan een uur nog eens 500.000 wachtwoorden op. Pesce gebruikte de 1,4 miljoen gevonden wachtwoorden als nieuw woordenboek, waarbij er steeds nieuwe variaties werden geprobeerd. Onder andere door steeds verschillende variaties van het woord Linkedin te proberen. Hierdoor werden nog eens 600.000 wachtwoorden gekraakt.

Complexiteit
"Dit laat duidelijk zien dat ongeacht de complexiteit van het wachtwoord dat je kiest, zolang het op woorden en regels gebaseerd is, ook al zijn er veel woorden en veel regels, het waarschijnlijk wordt gekraakt", concludeert de onderzoeker.

Eerder waarschuwde anti-virusbedrijf Sophos al dat 60% van de wachtwoorden gekraakt was. LinkedIn liet donderdag al op het eigen blog weten dat het nog geen meldingen van misbruik heeft ontvangen.

Reacties (4)
10-06-2012, 09:53 door Anoniem
Het feit dat LinkedIn nog geen meldingen van misbruik had ontvangen, zegt vooral iets over de hackers, die misschien niets kwaads in de zin hadden, maar alléén willen aantonen hoe abominabel de beveiliging bij dit soort sites is, in de hoop dat ze er iets aan gaan doen. Het zal me niets verbazen als later blijkt dat er veel eerder al waarschuwingen bij LinkedIn zijn binnengekomen over beveiligingslekken, en dat ze die gewoon blijken te hebben genegeerd. Het publiceren van dit soort lekken heeft dan veel meer effect.
10-06-2012, 22:06 door Mozes.Kriebel
Door Anoniem: Het feit dat LinkedIn nog geen meldingen van misbruik had ontvangen, zegt vooral iets over de hackers...
Het zegt meer iets over LinkedIn, namelijk dat ze geen clue hebben. Niet over security, niet over deze "hack" en niet over communiceren naar en het serieus nemen van hun gebruikers. Triest maar exemplarisch voor grote bedrijven...

Lees ook eens http://www.computable.nl/artikel/opinie/security/4528031/1276896/linkedin-gaat-ernstig-in-de-fout.html
Aardig stukkie...
11-06-2012, 12:37 door 0101
Dit laat duidelijk zien dat ongeacht de complexiteit van het wachtwoord dat je kiest, zolang het op woorden en regels gebaseerd is, ook al zijn er veel woorden en veel regels, het waarschijnlijk wordt gekraakt
Ik dacht dat we juist met z'n allen passphrases moesten gaan gebruiken?
12-06-2012, 23:18 door Anoniem
Is het niet een beetje zinloos zolang er geen gebruikersnamen bekend zijn en alleen de hashes, om deze hashes vervolgens te gaan "kraken" aan de hand van reeds bestaande dictonaries?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.