Microsoft: veel gelekte wachtwoordlijsten rotzooi
Veel van de gestolen databases en wachtwoordlijsten die op websites als Pastebin.com verschijnen zijn 'complete rotzooi', aldus Microsoft. De softwaregigant reageert na een week van verschillende inbraken bij websites van Nvidia, Billabong, Yahoo!, Formspring en Android Forums waar miljoenen gebruikersgegevens werden buitgemaakt.
Zodra Microsoft dit soort lijsten ontdekt of van andere partijen krijgt wordt gecontroleerd of de eigen gebruikers kwetsbaar zijn. "Dit wordt op geautomatiseerde en veilige wijze gedaan zodat geen enkel mens de accountgegevens van onze klanten ziet", zegt Microsoft's Eric Doerr. Hij merkt op dat de softwaregigant niet vaak over de veiligheidssystemen blogt die het gebruikt. "Geen noodzaak om de bad guys meer ideeën te geven om onze klanten aan te vallen." Vanwege het grote aantal datalekken afgelopen week wil Microsoft toch bepaalde dingen duidelijk maken.
Controle
Wat de automatische controle betreft hebben berichten op Pastebin.com weinig waarde. "Je zult verrast zijn hoe vaak de lijsten, met name die openbaar worden gemaakt, complete rotzooi met nul matches zijn", gaat Doerr verder. In sommige gevallen zijn er wel overeenkomsten. Gemiddeld komen dezelfde wachtwoorden met 20% van dezelfde gebruikersnamen overeen.
Bij een recent lek was de overeenkomst 4,5%. "Dit is goed nieuws, omdat het betekent dat gemiddeld 80% van onze gebruikers een veilig wachtwoord gebruiken."
Reset
In sommige gevallen is er onvoldoende informatie om te zien of er wachtwoorden zijn hergebruikt en wie er risico loopt. "Vragen we dan 100% van die klanten om hun wachtwoord te resetten, ook al loopt waarschijnlijk 20% risico? Of laten we die 20% risico lopen om geen ongemak voor de 80% te veroorzaken" stelt Doerr.
Als de dreiging volgens Microsoft reëel is, wordt er gekozen om iedereen z'n wachtwoord te laten resetten. "Ik verontschuldig me voor het ongemak, maar ik hoop dat je ons vergeeft voor het beschermen van je buurman. De volgende keer ben jij het misschien."
Hebben ze toevallig al eerder volle toegang gehad?
Volgen ze gebruikers zo nauwkeurig dat MS een eigen .db per gebruiker heeft?
Of vergelijken ze de ID's + passes alleen met hun eigen data, en wat is in dat geval nog de waarde van een MS-onderzoek??
Last but not least, zowel m'n Yahoo als m'n FormSpring accounts zijn gepubliceerd, inclusief de CORRECTE pass-phrases...
Hebben ze toevallig al eerder volle toegang gehad?
Volgen ze gebruikers zo nauwkeurig dat MS een eigen .db per gebruiker heeft?
Of vergelijken ze de ID's + passes alleen met hun eigen data, en wat is in dat geval nog de waarde van een MS-onderzoek??
Last but not least, zowel m'n Yahoo als m'n FormSpring accounts zijn gepubliceerd, inclusief de CORRECTE pass-phrases...
Meh, hoe kan MS hier uberhaupt iets over te zeggen hebben....
Microsoft scant de gelekte databases naar eigen klanten. Dit betekent dat ze bijvoorbeeld scannen op e-mail adressen die iets te maken hebben met @msn.com of @hotmail.com. De wachtwoorden die corresponderen met de e-mail adressen van Microsoft klanten worden dan aansluitend gecontroleerd. Is het gelekte wachtwoord hetzelfde als het wachtwoord van het e-mail adres dan kan Microsoft er bijvoorbeeld voor zorgen dat de klant gedwongen wordt om zijn wachtwoord te veranderen.
Tijdens het gebruik van deze methode heeft Microsoft opgemerkt dat vrijwel alle gelekte databases dikke troep zijn waar je niks aan hebt. Dat betekent dus dat het Microsoft wachtwoord en het gelekte wachtwoord in heel veel gevallen niet overeen komen.
Snappie?
Natuurlijk wel; ze bootsen gewoon het inlogsysteem na.
Alleen vult de gebruiker dan niet het wachtwoord in, maar het controleprogramma.
Oftewel, dat controleprogramma doet met het wachtwoord precies hetzelfde, als wat de code achter de loginpagina met het wachtwoord doet.
Lol, hoe moeten ze dan controleren of je wel het juiste wachtwoord hebt ingevoerd als je op hun service wil inloggen.
SecOff heeft wel gelijk...
Salten aan MS zijn kant is natuurlijk geen probleem. Microsoft kan inderdaad zijn eigen inlog systeem gebruiken voor de controle.
Wachtwoorden die gelekt zijn kunnen echter wel gesalt zijn door een derde partij. Bijvoorbeeld Yahoo of NVidea. MS weet waarschijnlijk deze salt methode niet en gaat dus de gesalte gelekte wachtwoorden vergelijken met hun eigen wachtwoorden. Hierdoor kan MS niet meer stellen dat niet dezelfde wachtwoorden zijn gebruikt.
Het leuke is echter dat de conclusie echter wel hetzelfde is. De gelekte wachtwoorden zijn waardeloos tenzij de salt methode ook gelekt is, echter wanneer dit het geval is dan begint MS gewoon weer van het begin.
Conclusie: In beide gevallen controleert MS of de gelekte wachtwoorden van toepassing kunnen zijn voor hackers. Dit blijkt in de praktijk vrijwel nooit voor te komen. Dit kan komen door salting of door het feit dat klanten slim genoeg zijn om niet overal hetzelfde wachtwoord te gebruiken... Ik verwacht het eerste :P
En dat is erg jammer. Heb er een tijdje rondgekeken en die tools zijn inderdaad imposant. Microsoft is de meest aangevallen organisatie naast het DoD in de USA. Paar honderd security mensen alleen al om de eigen systemen te beschermen en de tools die ze daarvoor gebruiken zouden ze zo kunnen verkopen... zijn in ieder geval beter dan dat wat ze wel verkopen :-)
Het lijkt mij logisch dat ze dat niet doen aan de hand van het wachtwoord dat iemand met een hotmail account gebruikt op Yahoo Voice (tenzij de gebruiker hetzelfde password ook voor MS diensten gebruikt).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
