Op Twitter is een bot verschenen waar gebruikers de hash van een wachtwoord naar toe kunnen sturen, waarna in grote tabellen het bijbehorende wachtwoord wordt gezocht. Veel websites gebruiken een hashing-algoritme om het wachtwoord van gebruikers te coderen. Deze gecodeerde versie wordt vervolgens opgeslagen. In het geval de website wordt gehackt, hebben de aanvallers niet direct het wachtwoord in handen.
Er zijn echter grote dataverzamelingen van allerlei wachtwoord-hashes, zogenaamde rainbow-tabellen, waarin het bij de hash behorende wachtwoord is op te zoeken. Hierdoor kan een gevonden wachtwoord-hash supersnel worden 'gekraakt', hoewel het eigenlijk om opzoeken gaat.
Salting
Door het gebruik van salting wordt er een waarde aan het wachtwoord toegevoegd en dit vervolgens gehasht. Hierdoor zijn vooraf aangelegde rainbow tabellen niet meer te gebruiken, omdat ze zonder de toegevoegde waarde zijn gemaakt.Veel websites passen echter geen salting toe.
De nu verschenen PlzCrack-bot op Twitter gebruikt de rainbow-tabellen van Crackstation.net om een opgestuurd en 'ongezouten' wachtwoord-hash op te zoeken.
De bot ondersteunt MD5, MD5(MD5), SHA-1, SHA-2, MySQL, NTLM, LM, MD2, MD4, RipeMD160 en WHIRLPOOL-hashes. Uit de lijst met reacties blijkt dat de bot in veel gevallen het bijbehorende wachtwoord niet weet te vinden.
Deze posting is gelocked. Reageren is niet meer mogelijk.