image

1,9 miljoen Adobe-gebruikers hadden '123456' als wachtwoord

dinsdag 5 november 2013, 11:58 door Redactie, 5 reacties

Ruim 1,9 miljoen Adobe-gebruikers van wie de gegevens onlangs door aanvallers van Adobe's netwerk werden gestolen, gebruikten '123456' als wachtwoord. Dat blijkt uit een analyse van de versleutelde wachtwoorden. Adobe gebruikte zwakke encryptie voor de opslag van wachtwoorden.

Daardoor is het mogelijk om alle versleutelde wachtwoorden te ontsleutelen door één encryptiesleutel te achterhalen. Hoewel deze sleutel nog niet is achterhaald, kunnen onderzoekers aan de hand van de versleutelde weergave van de wachtwoorden wel afleiden welk wachtwoord een deel van de gebruikers gebruikten.

De data is namelijk met het Triple DES encryptiealgoritme beschermd. Voor de encryptie gebruikte Adobe een mode genaamd ECB, zo ontdekten onderzoekers. ECB lekt vaak informatie over wachtwoorden, zoals de paar laatste karakters en de lengte van de wachtwoorden. Daardoor konden onderzoekers van de Stricture Consulting Group een overzicht van de 100 meest gebruikte wachtwoorden maken.

Daaruit blijkt dat 1,9 miljoen accounts het wachtwoord 123456 gebruikten, gevolgd door 123456789, dat 446.000 keer werd aangetroffen. De analyse van de onderzoekers is gebaseerd op 130 miljoen accounts. Adobe liet weten dat 38 miljoen accounts geldig waren, de rest was inactief of ongeldig. Hieronder de Top 20 aangetroffen wachtwoorden.

Image

Reacties (5)
05-11-2013, 13:05 door Briolet - Bijgewerkt: 05-11-2013, 13:06
De analyse van de onderzoekers is gebaseerd op 130 miljoen accounts. Adobe liet weten dat 38 miljoen accounts geldig waren, de rest was inactief of ongeldig.
3/4 van de accounts waren dus ongebruikt. Hoeveel daarvan waren test account waar mensen mee gespeeld hebben en even een simpel wachtwoord gebruikt hebben. Dit met het idee om het wachtwoord later wel in een echt wachtwoord te veranderen.
05-11-2013, 13:38 door WhizzMan
Het ligt voor de hand dat mensen zwakke wachtwoorden kiezen voor "wegwerpaccounts". De waanzin dat je overal maar je gegevens moet achterlaten om iets op een website te mogen heeft als gevolg dat mensen rotzooi gaan invullen. Als zo'n database dan eens gestolen wordt, kom je veel rotzooi tegen.
05-11-2013, 15:35 door Anoniem
Dit incident is precies de reden dat je wegwerpaccounts moet gebruiken, liefst in combinatie met een wegwerpmailbox om de 'fantastische aanbiedingen' te omzeilen. En het is inderdaad niet meer dan logisch dat je een eenvoudig password kiest voor dat account. Natuurlijk moet je op elke website een uniek, complex password gebruiken, maar dan wel alleen als zo'n site ertoe doet.

Adobe is een security-nachtmerrie. Zowel online als applicatief. En als je puur kijkt naar Adobe Reader, na Java de meest misbruikte software, dan is dat een applicatie waar niemand echt op zat te wachten. Ineens moesten we PDF's kunnen lezen en daarmee werd de deur opengezet voor een eindeloze stroom vulnerabilities. Datzelfde geldt voor Java trouwens, je MOET het installeren en de installer van die software is tegelijkertijd een transportmiddel voor spyware door alle toolbars die je meegeleverd krijgt. Welke IT'er heeft nog nooit alle toolbars bij die kennis moeten verwijderen?

Misschien gloort er voorzichtig wat hoop en gaan ze bij adobe eindelijk eens begrijpen dat we niet zitten te wachten op hun rommel.
05-11-2013, 17:31 door Anoniem
Mijn eerste reactie was "whoo nog zeveel domme mensen" mijn tweede reactie "Waarom moet je eigenlijk een Adobe account hebben". Sorry ik zie het nut er niet van in blijkbaar als je hun software download? van de 130 miljoen slecht 38 miljoen actief. 100 miljoen weten dus ook niet waarom ze dat account voor nodig hadden. blijft de vraag is die 1.9 miljoen van alle account of van de actieve accounts.
Wat is eigenlijk de schade als iemand jou adobe wachtwoord weet?

Heeft iemand een account en kan mij vertellen waarom je die hebt. Ik heb namelijk geen idee.
05-11-2013, 23:10 door Anoniem
Ik heb een Adobe-account, waarvan de gegevens zijn buitgemaakt. Volgens mij moest ik die aanmaken voor Adobe Digital Editions. Maar dat weet ik niet helemaal zeker meer. Ik weet alleen dat adobe me hierover gemaild heeft.
Plus dat het mailaccount dat als username werd gebruikt meteen vroeg om een controle en een passwordreset wegens ongebruikelijke activiteit, dus mijn conclusie is dat er al actief misbruik wordt gemaakt van de gestolen gegevens. Gelukkig had ik twee verschillende wachtwoorden...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.