image

Philips wachtwoorden eenvoudig te kraken

donderdag 23 augustus 2012, 16:19 door Redactie, 9 reacties

De wachtwoorden die hackersgroep Rex Mundi afgelopen dinsdag bij Philips buitmaakte waren zeer zwak en eenvoudig te kraken, mede dankzij een Nederlands woordenboek. Anti-virusbedrijf Sophos analyseerde met wachtwoordkraker John the Ripper één gestolen database met zo'n 400 wachtwoord-hashes. Met een enkele processor van zijn toch al niet zo snelle laptop wist Paul Ducklin binnen binnen 3 seconden een kwart te kraken.

Zo'n 200 wachtwoorden waren binnen 50 minuten achterhaald terwijl na twee uur de 53% werd gehaald. Ducklin herhaalde het onderzoek alleen gebruikte hij dit keer niet wachtwoorden die John the Ripper genereerde, maar verschillende woordenboeken, onder andere met Nederlandse woorden.

Nederlands
"Philips is een Nederlands bedrijf, en gezien de namen in de database en de wachtwoorden die ik in de eerste poging aantrof, waren ook veel gebruikers Nederlands", aldus Ducklin. Dit keer was 52% van de hashes na 2 minuten gekraakt. De analist telde de resultaten van de twee pogingen met John the Ripper bij elkaar op en wist uiteindelijk binnen twee uur 66% van de hashes te kraken.

"Het is belangrijk dat bedrijven hun eindgebruikers helpen bij het kiezen van een veilig wachtwoord. De beste oplossing is nog steeds het gebruik van een passphrase", zegt Frank van Vliet, CTO van Certified Secure. "Als er daarnaast ook salting en stretching was toegepast, zou het kraken van de hashes duizenden keren langer duren."

Reacties (9)
23-08-2012, 16:28 door Anoniem
[admin] Dank, aangepast [/admin]

Verder blijt het apart dat salting nog niet standaard is.
23-08-2012, 17:57 door Dick99999
Als het artikel inhoudelijk juist is, had de titel van het artikel moeten zijn "eenvoudig te kraken wachtwoorden nog steeds populair". Als de hashing bij Philips bovendien niet in orde zou zijn (wat gebruikten zij?) had de naam van Philips erbij gekund. Maar dan wel vermelden wat zij gebruikten en dan de conclusie.
===edit
Verder zie ik niet hoe dit artikel in overeenstemming is met "Geef Philips-hackers aan als je ze kent" waarin staat ".....had Philips de wachtwoorden nooit in platte tekst mogen opslaan...". Ik zie niet waarom jack de Ripper dan nodig is. En ik neem dus aan dat Philips wel degelijk hashing gebruikte. Of gaat het over 2 inbraken?
23-08-2012, 18:00 door Anoniem
Is het wel zo belangrijk dat die wachtwoorden voor een site als die van Philips makkelijk te kraken zijn? Wat kun je er precies mee?

Als je er niets bijzonder mee kunt, is het vooral een privacy probleem. Persoonsgegevens horen niet op straat te liggen.
23-08-2012, 20:01 door Anoniem
Mooie foto.
24-08-2012, 08:37 door Anoniem
Ben ik nou dom of kan hier iemand niet rekenen?


John the Ripper één gestolen database met zo'n 400 wachtwoord-hashes. Met een enkele processor van zijn toch al niet zo snelle laptop wist Paul Ducklin binnen binnen 3 seconden een kwart te kraken.

400 hases. Binnen 3 seconden een kwart, dus 100 hashes.

Zo'n 200 wachtwoorden waren binnen 50 minuten achterhaald terwijl na twee uur de 53% werd gehaald.
200 = 50% in 50 minuten. 53% = 212, kwam pas 70 minuten later. Lastig die twaalf wachtwoorden.. maar verderop:

Dit keer was 52% van de hashes na 2 minuten gekraakt.
Nu hebben we er 208 in 2 minuten. Das even wat sneller dan de 2 uur die hierboven staat.

De analist telde de resultaten van de twee pogingen met John the Ripper bij elkaar op en wist uiteindelijk binnen twee uur 66% van de hashes te kraken.
En net was het nog 53%?

I IS CONFUSED
24-08-2012, 10:00 door Anoniem
de eerste 53% bevatte niet hetzelfde als de 2e 52% ....dus ja, samen kan het wel 66% zijn
25-08-2012, 10:52 door Dick99999
Door Anoniem: Is het wel zo belangrijk dat die wachtwoorden voor een site als die van Philips makkelijk te kraken zijn? Wat kun je er precies mee?

Als je er niets bijzonder mee kunt, is het vooral een privacy probleem. Persoonsgegevens horen niet op straat te liggen.
Het punt is dat veel mensen hetzelfde wachtwoord vaak hergebruiken. Dus ga maar met dat wachtwoord naar interessantere sites toe. En ja, dat ligt aan de mensen, niet aan Philips want die had de wachtwoorden blijkaar goed(?) beschermd.

Wat die journalist gedaan heeft, kan met alle zwakke wachtwoorden hoe goed beschermd ook, mits je de database in handen krijgt. Hoe goed die DB beschermd was bij Philips weet ik niet. Eigenlijk heb je als klant daar niets mee te maken. Thuis, in winkels en bedrijven en in de digitale wereld wordt ingebroken, een fact of life. Het mooie van een sterk hashed wachtwoord is, dat de dief er niets mee kan. Probeer dat maar eens in de gewone wereld, de digitale wereld is wat die bescherming btreft bijna uniek.

Maar sterke wachtwoorden zijn moeilijk te onthouden. De enige eenvoudige manier om sterke wachtwoorden te gebuiken is volgens mij het gebruik van een password manager, multi platform.
28-08-2012, 13:32 door Anoniem
En natuurlijk local admin..
28-08-2012, 14:00 door Dick99999
Inderdaad komt veel voor dat admin echte wachtwoorden kent. Maar als hash aan staat ook?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.