Twitterbot 'kraakt' ongezouten wachtwoord-hashes
Op Twitter is een bot verschenen waar gebruikers de hash van een wachtwoord naar toe kunnen sturen, waarna in grote tabellen het bijbehorende wachtwoord wordt gezocht. Veel websites gebruiken een hashing-algoritme om het wachtwoord van gebruikers te coderen. Deze gecodeerde versie wordt vervolgens opgeslagen. In het geval de website wordt gehackt, hebben de aanvallers niet direct het wachtwoord in handen.
Er zijn echter grote dataverzamelingen van allerlei wachtwoord-hashes, zogenaamde rainbow-tabellen, waarin het bij de hash behorende wachtwoord is op te zoeken. Hierdoor kan een gevonden wachtwoord-hash supersnel worden 'gekraakt', hoewel het eigenlijk om opzoeken gaat.
Salting
Door het gebruik van salting wordt er een waarde aan het wachtwoord toegevoegd en dit vervolgens gehasht. Hierdoor zijn vooraf aangelegde rainbow tabellen niet meer te gebruiken, omdat ze zonder de toegevoegde waarde zijn gemaakt.Veel websites passen echter geen salting toe.
De nu verschenen PlzCrack-bot op Twitter gebruikt de rainbow-tabellen van Crackstation.net om een opgestuurd en 'ongezouten' wachtwoord-hash op te zoeken.
De bot ondersteunt MD5, MD5(MD5), SHA-1, SHA-2, MySQL, NTLM, LM, MD2, MD4, RipeMD160 en WHIRLPOOL-hashes. Uit de lijst met reacties blijkt dat de bot in veel gevallen het bijbehorende wachtwoord niet weet te vinden.
Hashbotdev?@Hashbotdev
I'm a bot, programmed to crack passwords. Be gentle with me. Direct message 'help' to me for a list of my commands. Part of a Certified Secure challenge.
Hashcrackbot v1.0: Usage: crack <hash>, for example crack e91e6348157868de9dd8b25c81aebfb9 (1355685426.31)
Voor de afleiding van sleutels uit passwords heb ik geleerd dat je niet gewoon de SHA-1 moet nemen omdat 'ze' anders gewoon een dictonary attack kunnen doen. Wat PKCS#5 voorschrijft in zijn Password Based Key Derivation Function (PBKDF nr 1 of 2) is dat je tenminste 1000 keer ge-itereerd moet hashen, of 1 miljoen keer.
Dus niet H(salt || pw) maar H( H( H( ... H(salt || pw) ...) ) )
(met H je favoriete hash functie)
En dat reseultaat sla je dan op.
Dit kost per logon van een gebruiker misschien een paar miliseconden extra, maar de tijd die een rainbow table maken erin moet inversteren wordt ook die factor 1000 tot 1 miljoen groter.
Als je de rainbow table eenmaal hebt, helpt het niet meer natuurlijk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
