Onderzoeker publiceert bestand met 10 miljoen wachtwoorden
Een onderzoeker heeft een bestand met 10 miljoen wachtwoorden en gebruikersnamen gepubliceerd om zo de veiligheid van wachtwoorden te verbeteren. Volgens onderzoeker en beveiligingsconsultant Mark Burnett geeft zijn "zorgvuldig geselecteerde" dataset inzicht in het gedrag van gebruikers.
Toch twijfelde hij om het bestand openbaar te maken. Aanleiding is de veroordeling van Barrett Brown, de zelfverklaarde woordvoerder van Anonymous. Hij kreeg een gevangenisstraf van 15 maanden wegens het linken naar een bestand met gestolen data. Het ging hier om gestolen data die al openbaar was. In zijn eigen geval vreest Burrnett niet om te worden opgepakt. Hij heeft namelijk geen intentie om fraude te plegen of ongeautoriseerde toegang tot systemen te faciliteren.
Daarom heeft hij zoveel mogelijk identificerende informatie verwijderd, waaronder het domein van de e-mailadressen. Daarnaast gaat het om allerlei datasets en zijn de gegevens niet naar één bedrijf te herleiden. Ook zijn sleutelwoorden als bedrijfsnamen verwijderd, die naar de mogelijke bron van een datalek kunnen wijzen. Hetzelfde geldt voor informatie die naar een individu is te herleiden. De nu gepubliceerde wachtwoorden, die over een periode van 15 jaar werden verzameld, zijn volgens de onderzoeker dan ook voornamelijk "dode wachtwoorden".
Toch publiceert hij ze omdat dit een grotendeels genegeerd onderwerp is en inzicht in wachtwoordgebruik kan bieden. De meeste onderzoekers zouden echter bang zijn om wachtwoorden en gebruikersnamen samen te publiceren, omdat de twee bij elkaar een authenticatiefeature zijn, waardoor ze mogelijk risico lopen om te worden vervolgd. Verder heeft Burnett zijn download van een disclaimer voorzien, iets wat volgens hem noodzakelijk is.
123456
password
12345678
qwerty
123456789
12345
1234
111111
1234567
dragon
123123
baseball
abc123
football
monkey
letmein
696969
shadow
master
666666
In die pagina ook een tip om te downloaden zonder torrent client: http://www.direct-torrents.com/. Ook voor mij werkte dit zonder registratie, wel wat reclame slikkken (bron: https://news.ycombinator.com/item?id=9025648).
% awk '{ print $2 }' 10-million-combos.txt | sort | uniq | wc -l
5189412
4568e88f34196dc4edeasytlgwestwindsornj
123123sea.of.japan.naval.battle.1905
14051995buithanhhaikwonjiyong
Geen echte wachtzinnen, de langere wachtwoorden hebben bijna allemaal een getal aan de voorkant. Maar toch, deze kunnen toch niet va kraken afkomstig zijn, maar meer van afkijken inclusief loggers? Ook toevalstreffers van kraken voor lengte 25..38 zou ik uitsluiten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
