100 miljoen gestolen LinkedIn-wachtwoorden gekraakt
Zo'n 100 miljoen van de 117 miljoen wachtwoordhashes die in 2012 bij sociale netwerksite LinkedIn werden gestolen zijn inmiddels gekraakt. Dat laat Martin Bos van beveiligingsbedrijf TrustedSec weten. Hoewel de gegevens in 2012 werden buitgemaakt, verscheen de database onlangs pas op internet.
Het ging om ruim 164 miljoen e-mailadressen en ruim 177 miljoen wachtwoorden die via het sha-1-algoritme waren gehasht. Van deze 177 miljoen wachtwoordhashes bleken er ruim 117 miljoen uniek te zijn. LinkedIn had geen salting of stretching toegepast om het kraken van de wachtwoordhashes lastiger te maken. Verschillende onderzoekers besloten dan ook de wachtwoordhashes te kraken.
Beveiligingsbedrijf KoreLogic meldde vorige maand al dat het 65% van de wachtwoodhashes in een periode van zo'n 2 uur had gekraakt. Volgens KoreLogic bevat de gestolen database echter 62 miljoen unieke wachtwoordhashes. Uiteindelijk wist het bedrijf er daarvan 50 miljoen te achterhalen. Waarbij KoreLogic de hashes via de eigen 'wachtwoordkraakdienst' kraakte, laat Bosma in zijn uitleg zien hoe de hashes ook op een eenvoudige machine kunnen worden achterhaald.
Op dit moment claimt de onderzoeker zo'n 85% van de ruim 117 miljoen wachtwoordhashes te hebben gekraakt, wat neerkomt op zo'n 100 miljoen wachtwoorden. Via de website HaveIBeenPwned.com kunnen LinkedIn-gebruikers controleren of ze in de gestolen database voorkomen.
State of the art qua snelheid is heden een systeem met ook slechts 8 GPU's (type Nvidia GTX 1080) dat ~30x zo snel is: het kan 68.8 miljard van die hasshes/sec testen. Zie https://gist.github.com/epixoip/a83d38f412b4737e99bbef804a270c40
Maar wel opmerkelijke vind ik het grote detail van de beschrijving van de gevolgde methodes. Daaruit volgt ook dat dat goede passpharases met random gekozen woorden, gewoon niet gekraakt kunnen worden met die methodes. Ik neem aan dat de gerefereerde KoreLogic en ook Jeremi Gosney (beweert 97.9% gekraakt te hebben) doezelde methoden hebben gebruikt.
Kijk ook naar "@AaronToponce your password hash is not in the dump, it was one of the ones replaced with 'xxx'", https://twitter.com/jmgosney/status/735627351464120320. Als ik dat interpreteer zou het kunnen dat die xxxxxxxx gemarkeerde accounts machtwoorden hebben die niet gekraakt zijn door de aanbieder(s)?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
