Begin april verscheen er een bestand met 146 miljoen wachtwoord-hashes online, iemand heeft er daarvan nu 122 miljoen gekraakt. De MD5 en SHA1 wachtwoord-hashes waren verzameld door KoreLogic, met als doel het verbeteren van het onderzoek naar het kraken van wachtwoorden. Onderzoeker Pascal Clement wilde weten hoe ver hij zou komen als hij de MD5-hashes met zijn AMD Phenom II en ATI 5770 videokaart in combinatie met de kraakprogramma's John the Ripper en oclHashcat-plus zou kraken.
Uiteindelijk werden er dat 122 miljoen. Een verzameling van de gekraakte wachtwoorden werd verder geanalyseerd met het programma Pipal. Dan blijkt dat ruim een kwart van de wachtwoorden 7 karakters lang is en 65% niet langer dan 7 karakters. Slechts 5% is langer dan 11 karakters, terwijl lengte juist een belangrijke maatregel is om het kraken van wachtwoord-hashes te bemoeilijken.
Hashing
"Dit was een tijdrovende en lastige opdracht, mede omdat ik niet over de snelste kaart beschik. Het hele kraakproces duurde zo'n vijf maanden om te voltooien, ook vanwege mijn studie naar de CCNP certificering", merkt Clement op. "De geleerde les is dat met een goed en slim woordenboek, gecombineerd met handige regels voor hashcat en John the Ripper zelfs de meest onmogelijke wachtwoorden zijn te kraken."
Clement zegt in zijn analyse dat systeembeheerders een sterker hashing algoritme met salt moeten gebruiken om wachtwoorden op te slaan. Ook adviseert hij thuisgebruikers om regelmatig hun wachtwoord te wijzigen.
Woordenlijsten
"Wat opvalt is het gebruik van woordenlijsten waar ook zinnen in voorkomen. Waarschijnlijk is gezocht naar documenten en zijn alle zinnen hieruit opgenomen in de woordenlijst", zegt Frank van Vliet, CTO van Certified Secure tegenover Security.nl.
"Dit betekent niet dat het advies om passphrases te gebruiken onjuist is, maar het geeft wel aan dat het belangrijk is om een zin te kiezen die uniek is en dus niet in de woorden/zinnenlijsten voorkomt. Het gebruiken van een goede passphrase is voor de eindgebruiker nog steeds de beste manier om zich te beveiligen tegen deze aanvallen."
Deze posting is gelocked. Reageren is niet meer mogelijk.