Nieuws
image

Onderzoeker kraakt 4.000 wachtwoorden Ashley Madison

dinsdag 25 augustus 2015, 11:59 door Redactie, 4 reacties

Een onderzoeker is erin geslaagd om 4.000 wachtwoorden van gebruikers van Ashley Madison te kraken, waarmee wordt aangetoond hoe belangrijk het is om een sterk wachtwoord te kiezen. Aanvallers wisten vorige maand een grote hoeveelheid data van Ashley Madison te stelen, de site voor vreemdgangers.

De gegevens werden vorige week deels gepubliceerd. Tussen de gestolen data bevonden zich ook 36 miljoen wachtwoordhashes. Ashley Madison had de wachtwoorden niet in platte tekst opgeslagen, maar in gehashte vorm. Hierdoor zijn ze niet direct leesbaar, maar kunnen ze wel worden gekraakt. Dean Pierce, Linux security-engineer bij chipgigant Intel, besloot de wachtwoordhashes met zijn speciale "kraakmachine" te kraken.

De computer van Pierce bestaat uit vier ATI R9 290 videokaarten. Voor het hashen van de wachtwoorden had Ashley Madison het bcrypt-algoritme gebruikt en was er ook van een 'salt' gebruik gemaakt. Dit maakt het veel lastiger om de wachtwoordhashes te kraken. Bij een zwakker algoritme, zoals MD5, is het mogelijk om miljoenen wachtwoordcombinaties per seconde te proberen. In het geval van de gesalte bcrypt-hashes kwam Pierce met zijn computer niet verder dan 156 hashes per seconde.

Verder bleek ook de omvang van het aantal wachtwoordhashes problematisch, waardoor hij 6 miljoen van de 36 miljoen wachtwoordhashes kon inladen. Voor het kraken van de hashes gebruikte hij de RockYou-woordenlijst. RockYou is een bedrijf dat widgets voor sociale media ontwikkelt. In 2009 werd het gehackt, waardoor aanvallers meer dan 32 miljoen wachtwoorden wisten te stelen. Deze wachtwoorden waren in platte tekst opgeslagen en verschenen uiteindelijk op internet. Sindsdien worden de wachtwoorden van RockYou door veel onderzoekers als standaardlijst voor het kraken van wachtwoorden gebruikt.

Kraaktijd

Pierce liet zijn machine vijf dagen aanstaan, waarbij hij uiteindelijk 4.000 wachtwoorden wist te kraken. Dat komt neer op 32,6 gekraakte wachtwoorden per uur. Verder bleek dat er 1191 unieke wachtwoorden tussen zaten. Het meestvoorkomende wachtwoord is "123456", dat 202 keer voorkwam. Verder bleek dat 105 gebruikers het wachtwoord "password" hadden gekozen. Pierce maakte een Top 20 van de meestvoorkomende wachtwoorden. De lijst lijkt erg veel op andere wachtwoordenlijsten die regelmatig worden gepubliceerd.

Volgens de onderzoeker is het waarschijnlijk onmogelijk om elk bcrypt-wachtwoord te kraken, maar zullen in het geval van Ashley Madison uiteindelijk tal van wachtwoorden toch worden achterhaald. Het gaat in dit geval vooral om zwakke wachtwoorden die al op allerlei woordenlijsten voorkomen of eenvoudig via brute force zijn te achterhalen. Zo komen op de lijst van Pierce vooral korte wachtwoorden van minder dan acht karakters voor.

Reacties (4)
25-08-2015, 12:07 door Anoniem
"Pierce maakte een Top 20 van de meestvoorkomende wachtwoorden. De lijst lijkt erg veel op andere wachtwoordenlijsten die regelmatig worden gepubliceerd. "

Als iedereen steeds dezelfde lijst gebruikt om wachtwoorden te kraken dan wil ik best geloven dat ook steeds dezelfde wachtwoorden in de top 20 als "gekraakt" verschijnen.

Stel dat het erg makkelijke wachtwoord "Ilovetax" niet voorkomt in RockYou, dan zal het dus ook niet gauw opduiken in nieuwe lijsten laat staan in toptiens van veel voorkomende wachtwoorden.

Maar goed, dat terzijde. Ik betreur wel dat de wereld ineens zoveel preutser is geworden dat iedereen de deelnemers van Ashley Madison zo graag aan de schandpaal genageld ziet worden.
Ik ben wel eens benieuwd of die mensen nog zo enthousiast zijn als er lijsten gepubliceerd worden van welke nickname bij welke persoon hoort van populaire reaguurdersites als telegraaf.nl, powned, geenstijl, fok.nl of dumpster etc.

Mensen roepen het liefst anoniem heel hard over anderen dat ze terecht aan de schandpaal genageld worden. Dan was dat vroegere eieren gooien eerlijker: iedereen kon zien wie er stond te gooien.

Wel jammer dat van het "wie zonder zonde is werpe de eerste steen" niks overgebleven is. In de christelijke leer wordt erg selectief geshopt.
25-08-2015, 19:42 door karma4
Interessante link http://blog.includesecurity.com/ een forensic security verhaal. De naam Eric Cabetas en dit bedrijf geeft meer hits zoals.https://www.blackhat.com/eu-14/speakers/Erik-Cabetas.html
25-08-2015, 21:49 door Anoniem
Door Anoniem: Maar goed, dat terzijde. Ik betreur wel dat de wereld ineens zoveel preutser is geworden dat iedereen de deelnemers van Ashley Madison zo graag aan de schandpaal genageld ziet worden.
Radio 4 lijkt in ieder geval in SecondLove.nl, een vergelijkbare dienst van Nederlandse bodem, een goede adverteerder gevonden te hebben :-)
26-08-2015, 10:52 door Anoniem
Maar goed, dat terzijde. Ik betreur wel dat de wereld ineens zoveel preutser is geworden dat iedereen de deelnemers van Ashley Madison zo graag aan de schandpaal genageld ziet worden...
"...de wereld..."? "...iedereen..."? Waar maak je dit uit op?

Wel jammer dat van het "wie zonder zonde is werpe de eerste steen" niks overgebleven is.
Laat dit maar weg. Je weet niet goed waar je over praat en kwetst hiermee mensen omdat je een onjuiste voorstelling van zaken geeft. Er is gelukkig nog heel veel overgebleven van "wie zonder zonde is werpe de eerste steen".
Mensen die alleen kritiek hebben werpen nog geen stenen en veroordelen niet, maar dagen je uit voor een discussie.
Daar kun je serieus op ingaan of je kunt ze afdoen met dit soort opmerkingen, omdat je het gewoon niet wilt horen.
Ik zou je wel de ware betekenis willen uitleggen, maar daar is dit niet het juiste forum voor.

In de christelijke leer wordt erg selectief geshopt.
Tsja, dat heb je wel weer bewezen. :-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure