image

Onderzoeker publiceert bestand met 10 miljoen wachtwoorden

dinsdag 10 februari 2015, 11:34 door Redactie, 5 reacties
Laatst bijgewerkt: 10-02-2015, 13:27

Een onderzoeker heeft een bestand met 10 miljoen wachtwoorden en gebruikersnamen gepubliceerd om zo de veiligheid van wachtwoorden te verbeteren. Volgens onderzoeker en beveiligingsconsultant Mark Burnett geeft zijn "zorgvuldig geselecteerde" dataset inzicht in het gedrag van gebruikers.

Toch twijfelde hij om het bestand openbaar te maken. Aanleiding is de veroordeling van Barrett Brown, de zelfverklaarde woordvoerder van Anonymous. Hij kreeg een gevangenisstraf van 15 maanden wegens het linken naar een bestand met gestolen data. Het ging hier om gestolen data die al openbaar was. In zijn eigen geval vreest Burrnett niet om te worden opgepakt. Hij heeft namelijk geen intentie om fraude te plegen of ongeautoriseerde toegang tot systemen te faciliteren.

Daarom heeft hij zoveel mogelijk identificerende informatie verwijderd, waaronder het domein van de e-mailadressen. Daarnaast gaat het om allerlei datasets en zijn de gegevens niet naar één bedrijf te herleiden. Ook zijn sleutelwoorden als bedrijfsnamen verwijderd, die naar de mogelijke bron van een datalek kunnen wijzen. Hetzelfde geldt voor informatie die naar een individu is te herleiden. De nu gepubliceerde wachtwoorden, die over een periode van 15 jaar werden verzameld, zijn volgens de onderzoeker dan ook voornamelijk "dode wachtwoorden".

Toch publiceert hij ze omdat dit een grotendeels genegeerd onderwerp is en inzicht in wachtwoordgebruik kan bieden. De meeste onderzoekers zouden echter bang zijn om wachtwoorden en gebruikersnamen samen te publiceren, omdat de twee bij elkaar een authenticatiefeature zijn, waardoor ze mogelijk risico lopen om te worden vervolgd. Verder heeft Burnett zijn download van een disclaimer voorzien, iets wat volgens hem noodzakelijk is.

Reacties (5)
10-02-2015, 12:18 door Anoniem
De top 20 wachtwoorden uit dat bestand zijn:

123456
password
12345678
qwerty
123456789
12345
1234
111111
1234567
dragon
123123
baseball
abc123
football
monkey
letmein
696969
shadow
master
666666
10-02-2015, 13:00 door PietdeVries
10 Miljoen wachtwoorden klinkt als een hoop, maar naar wat ik heb gehoord blijven na het schrappen van de dubbele er nog (maar) 500k unieke wachtwoorden over. Toch leuk leesvoer voor John bijvoorbeeld ;-)
10-02-2015, 13:08 door Anoniem
Uitgebreide discussie in https://news.ycombinator.com/item?id=9024751.

In die pagina ook een tip om te downloaden zonder torrent client: http://www.direct-torrents.com/. Ook voor mij werkte dit zonder registratie, wel wat reclame slikkken (bron: https://news.ycombinator.com/item?id=9025648).
11-02-2015, 09:36 door Anoniem
Door PietdeVries: 10 Miljoen wachtwoorden klinkt als een hoop, maar naar wat ik heb gehoord blijven na het schrappen van de dubbele er nog (maar) 500k unieke wachtwoorden over. Toch leuk leesvoer voor John bijvoorbeeld ;-)

% awk '{ print $2 }' 10-million-combos.txt | sort | uniq | wc -l
5189412
11-02-2015, 13:17 door Dick99999 - Bijgewerkt: 11-02-2015, 13:19
Er staaan wachtwoorden in als
4568e88f34196dc4edeasytlgwestwindsornj
123123sea.of.japan.naval.battle.1905
14051995buithanhhaikwonjiyong

Geen echte wachtzinnen, de langere wachtwoorden hebben bijna allemaal een getal aan de voorkant. Maar toch, deze kunnen toch niet va kraken afkomstig zijn, maar meer van afkijken inclusief loggers? Ook toevalstreffers van kraken voor lengte 25..38 zou ik uitsluiten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.