Onderzoekers zijn erin geslaagd om meer dan 11 miljoen wachtwoorden van Ashley Madison-gebruikers te kraken, zo hebben ze vandaag bekendgemaakt. De groep onderzoekers noemt zich CynoSure Prime en onderzocht de data die bij de vreemdgangerswebsite werd gestolen. Aanvallers wisten gigabytes aan data bij Ashley Madison te stelen, waaronder de gehashte wachtwoorden van gebruikers.
Het gaat in totaal om 36 miljoen wachtwoordhashes. Ashley Madison had de wachtwoorden niet in platte tekst opgeslagen, maar in gehashte vorm. Hierdoor zijn ze niet direct leesbaar, maar kunnen ze wel worden gekraakt. Voor het hashen van de wachtwoorden had Ashley Madison het bcrypt-algoritme gebruikt en was er ook van een 'salt' gebruik gemaakt. Dit maakt het veel lastiger om de wachtwoordhashes te kraken. Bij een zwakker algoritme, zoals MD5, is het mogelijk om miljoenen wachtwoordcombinaties per seconde te proberen. In het geval van de gesalte bcrypt-hashes kwam een andere onderzoeker met zijn computer niet verder dan 156 hashes per seconde. Deze onderzoeker wist in vijf dagen 4.000 wachtwoorden te kraken.
Er werd dan ook gesteld dat het kraken van alle Ashley Madison-wachtwoordhashes eeuwen zou duren. Dat lijkt nu toch niet zo te zijn. De onderzoekers van CynoSure Prime onderzochten namelijk de tweede hoeveelheid data die recentelijk online werd gezet. Daarin vonden ze informatie waardoor ze de met bcrypt gehashte wachtwoorden veel sneller konden kraken. "In plaats van het kraken van de trage bcrypt-hashes, wat op het moment een hot topic is, besloten we een efficiëntere aanpak te kiezen en de MD5-tokens aan te vallen", aldus de onderzoekers in hun uitleg.
De vreemdgangerswebsite blijkt voor nog onbekende redenen MD5-tokens te hebben gebruikt. Deze tokens zijn veel eenvoudiger te kraken dan de bcrypt-hashes. De informatie van de gekraakte tokens kon vervolgens worden gebruikt voor het kraken van de bcrypt-hashes, zo ontdekten ze. Sinds de onderzoekers twee weken geleden met hun onderzoek begonnen hebben ze inmiddels meer dan 11,2 miljoen bcrypt-hashes gekraakt. In totaal stonden er in de gestolen data ruim 15 miljoen tokens.
Deze posting is gelocked. Reageren is niet meer mogelijk.