Twitterbot 'kraakt' ongezouten wachtwoord-hashes
Op Twitter is een bot verschenen waar gebruikers de hash van een wachtwoord naar toe kunnen sturen, waarna in grote tabellen het bijbehorende wachtwoord wordt gezocht. Veel websites gebruiken een hashing-algoritme om het wachtwoord van gebruikers te coderen. Deze gecodeerde versie wordt vervolgens opgeslagen. In het geval de website wordt gehackt, hebben de aanvallers niet direct het wachtwoord in handen.
Er zijn echter grote dataverzamelingen van allerlei wachtwoord-hashes, zogenaamde rainbow-tabellen, waarin het bij de hash behorende wachtwoord is op te zoeken. Hierdoor kan een gevonden wachtwoord-hash supersnel worden 'gekraakt', hoewel het eigenlijk om opzoeken gaat.
Salting
Door het gebruik van salting wordt er een waarde aan het wachtwoord toegevoegd en dit vervolgens gehasht. Hierdoor zijn vooraf aangelegde rainbow tabellen niet meer te gebruiken, omdat ze zonder de toegevoegde waarde zijn gemaakt.Veel websites passen echter geen salting toe.
De nu verschenen PlzCrack-bot op Twitter gebruikt de rainbow-tabellen van Crackstation.net om een opgestuurd en 'ongezouten' wachtwoord-hash op te zoeken.
De bot ondersteunt MD5, MD5(MD5), SHA-1, SHA-2, MySQL, NTLM, LM, MD2, MD4, RipeMD160 en WHIRLPOOL-hashes. Uit de lijst met reacties blijkt dat de bot in veel gevallen het bijbehorende wachtwoord niet weet te vinden.
Hashbotdev?@Hashbotdev
I'm a bot, programmed to crack passwords. Be gentle with me. Direct message 'help' to me for a list of my commands. Part of a Certified Secure challenge.
Hashcrackbot v1.0: Usage: crack <hash>, for example crack e91e6348157868de9dd8b25c81aebfb9 (1355685426.31)
Voor de afleiding van sleutels uit passwords heb ik geleerd dat je niet gewoon de SHA-1 moet nemen omdat 'ze' anders gewoon een dictonary attack kunnen doen. Wat PKCS#5 voorschrijft in zijn Password Based Key Derivation Function (PBKDF nr 1 of 2) is dat je tenminste 1000 keer ge-itereerd moet hashen, of 1 miljoen keer.
Dus niet H(salt || pw) maar H( H( H( ... H(salt || pw) ...) ) )
(met H je favoriete hash functie)
En dat reseultaat sla je dan op.
Dit kost per logon van een gebruiker misschien een paar miliseconden extra, maar de tijd die een rainbow table maken erin moet inversteren wordt ook die factor 1000 tot 1 miljoen groter.
Als je de rainbow table eenmaal hebt, helpt het niet meer natuurlijk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
