image

LinkedIn bevestigt diefstal 117 miljoen wachtwoorden

donderdag 19 mei 2016, 10:42 door Redactie, 6 reacties

Bij de hack van LinkedIn in 2012 zijn inderdaad 117 miljoen wachtwoordhashes en e-mailadressen van gebruikers gestolen, en niet 6,5 miljoen zoals eerder werd gemeld, zo heeft de zakelijke netwerksite in een blogposting bevestigd. Gisteren werd bekend dat op internet een bestand met de gegevens van 117 miljoen LinkedIn-gebruikers wordt aangeboden.

De gegevens zijn bij de hack van 2012 buitgemaakt. LinkedIn laat namelijk weten dat het niet om een nieuw beveiligingsincident gaat. Daarbij heeft de zakelijke netwerksite besloten om van alle accounts die voor 2012 zijn aangemaakt en sindsdien hun wachtwoord niet hebben veranderd, het wachtwoord te resetten. Getroffen gebruikers zullen hierbij worden ingelicht als hun wachtwoord is gereset.

Leaked Source, een zoekmachine waar tegen betaling in databases zoals die van LinkedIn kan worden gezocht, zou inmiddels 90% van de 170 miljoen wachtwoordhashes hebben gekraakt en maakte een overzicht van de 49 meestgebruikte wachtwoorden. Daaruit blijkt dat '123456' het meest voorkomt. Dit wachtwoord werd door 753.000 accounts gebruikt. Verder zijn ook 'linkedin' (172.000) en 'password' (144.000) erg populair.

Reacties (6)
19-05-2016, 11:17 door [Account Verwijderd] - Bijgewerkt: 19-05-2016, 11:28
[Verwijderd]
19-05-2016, 11:46 door Reinder
Dat het uberhaupt ooit mogelijk is geweest om een password als "123456", "linkedin" en "password" in te stellen is iets dat LinkedIn zichzelf ernstig aan zou moeten rekenen. Zo moeilijk is het niet om bij het ingeven van een wachtwoord te controleren dat het wachtwoord aan bepaalde minimum eisen voldoet, zoals minstens 2 kleine letter, 2 cijfers, 2 hoofdletters, een speciaal karakter en minstens 8 karakters lang. Een 6-karakter lang wachtwoord van uitsluitend cijfers was ook in de begindagen van LinkedIn al niet meer van de tijd. Natuurlijk kost "abAB123!" niet echt heel erg veel meer tijd om te kraken (afhankelijk van meerdere factoren, your mileage may vary) maar "123456" is wel echt heel erg slecht.
19-05-2016, 12:57 door Anoniem
Door Reinder: ... zoals minstens 2 kleine letter, 2 cijfers, 2 hoofdletters, een speciaal karakter en minstens 8 karakters lang. ....

Fout fout fout fout. Door een dergelijke beperkingen verminder je het aantal mogelijke combinatie - en maak je het juist gemakkelijker voor een aanvaller om buitgemaakte hashes te kraken. Daarnaast, en ernstiger, maak je het de gebruiker die volledig willekeurige wachtwoorden (de beste wachtwoorden dus) te gebruiken en tenslotte maak je het gebruik van stateless wachtwoord systemen onmogelijk. Je spoort daarmee de gebruiker juist aan om wachtwoorden te gebruiken die zowel aan de beperking voldoen alsook gemakkelijk te onthouden zijn. Hele grote fout dus.
19-05-2016, 14:29 door Anoniem
Door Reinder: Dat het uberhaupt ooit mogelijk is geweest om een password als "123456", "linkedin" en "password" in te stellen is iets dat LinkedIn zichzelf ernstig aan zou moeten rekenen. Zo moeilijk is het niet om bij het ingeven van een wachtwoord te controleren dat het wachtwoord aan bepaalde minimum eisen voldoet, zoals minstens 2 kleine letter, 2 cijfers, 2 hoofdletters, een speciaal karakter en minstens 8 karakters lang. Een 6-karakter lang wachtwoord van uitsluitend cijfers was ook in de begindagen van LinkedIn al niet meer van de tijd. Natuurlijk kost "abAB123!" niet echt heel erg veel meer tijd om te kraken (afhankelijk van meerdere factoren, your mileage may vary) maar "123456" is wel echt heel erg slecht.

8 karakters is tegenwoordig ook niet meer lastig te kraken. De hackers hadden namelijk de wachtwoord hashes in handen. En als je 4 jaar lang de tijd krijgt om hashes te kraken, heb je ook alle mogelijkheden met 8 karakters wel gezien.
19-05-2016, 14:34 door Anoniem
Door MAC-user: Als het dan geen nieuw beveiligingsincident betreft volgens LinkedIn, waarom komen ze nu pas 4 jaar later met een wachtwoord-reset aanzetten? Of heb ik iets gemist?
Nee, LinkedIn heeft iets gemist. Er zijn destijds 6,5 miljoen wachtwoordhashes gepubliceerd op een Russische website, en LinkedIn heeft toen aangenomen dat dat ook de enige uitgelekte hashes waren, in plaats van onder ogen te zien dat als een aanvaller een deel van de database heeft gelezen hij dus ook de hele database kan hebben gelezen.

Zucht. Bij "het grootste professionele netwerk ter wereld", zoals ze zich noemen, betekent het woord professioneel kennelijk niet dat ze hun eigen vak verstaan.
19-05-2016, 23:26 door Anoniem
8 karakters is tegenwoordig ook niet meer lastig te kraken. De hackers hadden namelijk de wachtwoord hashes in handen. En als je 4 jaar lang de tijd krijgt om hashes te kraken, heb je ook alle mogelijkheden met 8 karakters wel gezien.
Valt mee. Kan nog wel wat langer duren hoor, voordat ie aan de beurt is bij 117miljoen hashes... ;-)

En... 8 karakters is nog altijd ruim 52 bits sterkte, als je ze maar willekeurig uit de pool van 95 printbare karakters kiest,
en al te simpele wachtwoorden of wachtwoorden die vaak voorkomen of die in woordenboeken staan vermijdt.

Ik kom uit op gemiddeld ca. 71 jaar brute forcen bij 1 miljoen wachtwoorden per seconde.
Maar "gemiddelde tijden" geven je geen garantie: het kan ook toevallig eens veel korter duren!
Voor de zekerheid kan je dus het beste af en toe van wachtwoord veranderen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.