image

Langste gekraakte wachtwoorden Last.fm 46 karakters lang

donderdag 8 september 2016, 13:11 door Redactie, 22 reacties
Laatst bijgewerkt: 08-09-2016, 13:41

Vorige week werd bekend dat aanvallers in 2012 bij de populaire muziekdienst Last.fm de gegevens van 43 miljoen gebruikers hadden buitgemaakt, waaronder versleutelde wachtwoorden. De wachtwoorden waren echter met het zwakke md5-algoritme gehasht.

Er was daarnaast geen salting of stretching gebruikt om het kraken van de wachtwoordhashes lastiger te maken. De website LeakedSource wist zodoende 96% van de wachtwoordhashes in 2 uur te achterhalen. Dit leverde een overzicht van de 50 meestgebruikte wachtwoorden op. De website heeft nu echter ook een overzicht van de 50 langste wachtwoorden die het wist te kraken online gezet.

De twee langste wachtwoorden zijn 46 karakters lang, namelijk "alapdanceissomuchbetterwhenthestripperiscrying" en "perseusandtheseamonsterperseusandtheseamonster". Het herhalen van meerdere woorden als wachtwoord komt vaker in het overzicht terug, zoals "WthAmIDoingHereWthAmIDoingHereWthAmIDoingHere". Ook waren er gebruikers die bijvoorbeeld 42 keer hetzelfde karakter als wachtwoorden hadden. Tevens was er een gebruiker die een bekend cross-site scripting-voorbeeld als wachtwoord had gekozen.

Het kraken van langere wachtwoorden kost over het algemeen meer tijd dan bij korte wachtwoorden het geval is, zeker als er sterkere hashingalgoritmes worden gebruikt. Gebruikers vergroten hiermee de kans dat een datalek wordt ontdekt voordat hun wachtwoordhash is gekraakt. Zo waren er 255.000 accounts die het wachtwoord "123456" hadden, kwam "password" bijna 93.000 keer voor en waren er 66.000 accounts die via het wachtwoord "lastfm" inlogden.

Reacties (22)
08-09-2016, 13:23 door Anoniem
Het kraken van langere wachtwoorden kost over het algemeen meer tijd als DAN bij korte wachtwoorden.......
08-09-2016, 14:15 door Anoniem
Wie kan mij even helpen? Als je die lange wachtwoorden stopt in de site: https://howsecureismypassword.net/ dan komen er onwaarschijnlijk lange kraaktijden uit van miljarden jaren. HOE KAN HET DAN DAT DIE WACHTWOORDEN ZIJN GEKRAAKT?

Wie heeft het antwoord??
08-09-2016, 14:45 door Anoniem
Door Anoniem: Wie kan mij even helpen? Als je die lange wachtwoorden stopt in de site: https://howsecureismypassword.net/ dan komen er onwaarschijnlijk lange kraaktijden uit van miljarden jaren. HOE KAN HET DAN DAT DIE WACHTWOORDEN ZIJN GEKRAAKT?

Wie heeft het antwoord??


Dat komt omdat die site heel naief kijkt naar hoe lang het zou duren voor je iets van die lengte gegarandeerd hebt gekraakt door eerst AAAAA te proberen, dan AAAAB etc. Maar de gebruikte wachtwoorden zijn een combinatie van woorden die in het woordenboek staan, en dat zijn er veeeel minder dan alle mogelijke random lettercombinaties. Maar zelfs dan zijn zulke lange wachtwoorden vaak niet te kraken, hier draait het er om dat het programma wat de woorden samenvoegde ook probeerde het wachtwoord 2× achter elkaar te zetten, wat bij 2 van de 3 lange wachtwoorden zo is
08-09-2016, 14:45 door Anoniem
Wie heeft het antwoord??
Waarschijnlijk gaat die site er van uit dat je wachtwoord met sha-256 is encrypted. Duurt wat langer.
08-09-2016, 14:46 door Anoniem
Dit geeft duidelijk aan dat versleutelen van wachtwoorden weinig of geen zin heeft: als de database op straat ligt
dan liggen ook de wachtwoorden grotendeels op straat. Alle "slimme wactwoordconstructies" die je bedenkt worden
gewoon toegevoegd aan de kraker.
De nadruk moet daarom blijven liggen op het ontoegankelijk maken van de wachtwoord databases.

De 1e stap kan zijn het uit PHP verwijderen van de functie mysql_query.
08-09-2016, 14:59 door Anoniem
Door Anoniem: Wie kan mij even helpen? Als je die lange wachtwoorden stopt in de site: https://howsecureismypassword.net/ dan komen er onwaarschijnlijk lange kraaktijden uit van miljarden jaren. HOE KAN HET DAN DAT DIE WACHTWOORDEN ZIJN GEKRAAKT?

Wie heeft het antwoord??

Combinatie van brute force en dic attack verneem ik, je doet eerst een brute force zo heb je korte en makkelijke wachtwoorden tot ongeveer 10-12 karakter gefiltered. vervolgens voor de moeilijkere gebruik je custom made passwordlists.
08-09-2016, 15:07 door Anoniem
Door Anoniem:
Wie heeft het antwoord??
Waarschijnlijk gaat die site er van uit dat je wachtwoord met sha-256 is encrypted. Duurt wat langer.

verschil van twee uur en miljarden jaren niet verklaren, dat kan alleen door het verschil tussen een bruteforce en een woordenboekaanval te nemen
08-09-2016, 15:22 door Anoniem
Door Anoniem: De 1e stap kan zijn het uit PHP verwijderen van de functie mysql_query.

Zie: http://php.net/manual/en/function.mysql-query.php waar staat: " This extension [mysql_query] was deprecated in PHP 5.5.0, and it was removed in PHP 7.0.0".
08-09-2016, 15:50 door Anoniem
Door Anoniem: Wie kan mij even helpen? Als je die lange wachtwoorden stopt in de site: https://howsecureismypassword.net/ dan komen er onwaarschijnlijk lange kraaktijden uit van miljarden jaren. HOE KAN HET DAN DAT DIE WACHTWOORDEN ZIJN GEKRAAKT?

Wie heeft het antwoord??

Misschien stond het wachtwoord al in een van de MD5 rainbow tables?
08-09-2016, 16:07 door Anoniem
Ik ben geen crypto kenner maar ben daarom wel benieuwd wat het zegt over het MD5 algoritme dat blijkbaar vooral lange wachtwoorden met een herhaling erin te kraken waren, of die een bekende zin uit een song of boek bevatten.
Bij een goede hashing zou het toch niet uit moeten maken of elk deel van je wachtwoord origineel is, of dat het drie of vier keer hetzelfde stuk is?
08-09-2016, 16:22 door Anoniem
Door Anoniem: Wie kan mij even helpen? Als je die lange wachtwoorden stopt in de site: https://howsecureismypassword.net/ dan komen er onwaarschijnlijk lange kraaktijden uit van miljarden jaren. HOE KAN HET DAN DAT DIE WACHTWOORDEN ZIJN GEKRAAKT?

Wie heeft het antwoord??

Die site is misleidend. De tijd om een wachtwoord te kraken is niet afhankelijk van de lengte van het wachtwoord maar
van de volgorde van de geprobeerde wachtwoorden. Als een wachtwoordkraker als eerste wachtwoord jouw wachtwoord
probeert dan heeft ie het meteen gevonden en niet na miljarden jaren. Of jouw wachtwoord nou "password" is of
"fuVbnryY2ow5jXh94agLLXhs3A3yrtnDGnCPuKmSsceeDCmeWotDuk8eEiv7ViDD" dat maakt daarbij helemaal niets
uit. Alleen zullen veel kraakprogrammas eerder "password" proberen dan dat lange ding, omdat ze uit ervaring weten
dat ze dan meer succes hebben. Echter een garantie is dat niet.
08-09-2016, 16:26 door Anoniem
Door Anoniem:
Door Anoniem: De 1e stap kan zijn het uit PHP verwijderen van de functie mysql_query.

Zie: http://php.net/manual/en/function.mysql-query.php waar staat: " This extension [mysql_query] was deprecated in PHP 5.5.0, and it was removed in PHP 7.0.0".

Tja maar dan is er weer de functie mysqli_query. Die moet OOK verwijderd worden!!!
Als iedereen zou programmeren met mysqli_prepare en mysqli_execute (en dan zonder de geconstrueerde query met
parameters aan mysqli_prepare te geven uiteraard!!!) dan zou het hele probleem opgelost zijn.

Maar ja dat leer je niet in PHP+MySQL for dummies. Dus dan houdt het op.
08-09-2016, 16:39 door Anoniem
Door Anoniem: Wie kan mij even helpen? Als je die lange wachtwoorden stopt in de site: https://howsecureismypassword.net/ dan komen er onwaarschijnlijk lange kraaktijden uit van miljarden jaren. HOE KAN HET DAN DAT DIE WACHTWOORDEN ZIJN GEKRAAKT?

Wie heeft het antwoord??
sluipreclame?

Maar ik neem aan dat deze site een aanname doet, ze weten/vragen namelijk ook niet of het in base64 of in md5 gehashd is.
misschien hebben ze het juist wel over brute force aanvallen?
08-09-2016, 17:16 door Anoniem
Door Anoniem: Wie kan mij even helpen? Als je die lange wachtwoorden stopt in de site: https://howsecureismypassword.net/ dan komen er onwaarschijnlijk lange kraaktijden uit van miljarden jaren. HOE KAN HET DAN DAT DIE WACHTWOORDEN ZIJN GEKRAAKT?

Wie heeft het antwoord??

Beetje vreemd verhaal inderdaad - ik kan er geen goede verklaring voor vinden en hoor hem hier ook niet terug.
08-09-2016, 17:54 door karma4
Password phrases zijn heel lange wachtwoorden. Om ze te onthouden worden er vaak een beperkt aantal woorden in beperkte combinaties gebruikt.
Heb je een rainbowtabel met veel gebruikte voorkomens dan kan ik me kraken van de lange strings goed voorstellen.

Dan wordt het napluizen of dit speelt
08-09-2016, 22:09 door [Account Verwijderd] - Bijgewerkt: 08-09-2016, 22:10
Ik ben helemaal geen specialist op dit gebied.
Uiteraard fantastisch - werkelijk waar! - dat hierboven gediscussieerd wordt over hashes en zo al meer waar ik niets van begrijp; misschien off topic: maar hier gaan we - vind ik - wèl voorbij aan iets van dramatische aard:

Als ik de in het redactioneel artikel gevolgde link lees en daar zie dat nummer twee op de lijst van meestgebruikte wachtwoorden 'password' is, zou ik het toch ook ècht in mijn broek moeten doen van het lachen, was dit niet zo treurig.

Feitelijk ìs het dus treurig, en het toont dat het internetverkeer een spiegel is van het verkeer in de realiteit.
Een méér dan enige vorm van verantwoordelijkheid is ver te zoeken. En in de IT sector is er ten aanzien van de clientèle zelfs geen handhaving van de orde zoals politie/opsporingsdiensten in de realiteit doet (hoewel ik aan voldoende handhaving daar steeds vaker twijfel; op fietspaden heerst tegenwoordig complete anarchie) maar dat terzijde.

Verantwoordelijkheid op een goed spoor te krijgen ligt volgens mij vooraan op de lijst van hoe internet veilig te gebruiken, maar hier wordt al jaren op gehamerd en het heeft als je het wachtwoordlijstje uit het artikel mag geloven (waarom zou je eraan twijfelen overigens?) volgens mij ook echt totaal geen zin het - excuseer - nonchalante klikvee ervan te overtuigen dat 'password' echt geen wachtwoord is.
09-09-2016, 08:16 door Anoniem
Door Anoniem: Wie kan mij even helpen? Als je die lange wachtwoorden stopt in de site: https://howsecureismypassword.net/ dan komen er onwaarschijnlijk lange kraaktijden uit van miljarden jaren. HOE KAN HET DAN DAT DIE WACHTWOORDEN ZIJN GEKRAAKT?

Wie heeft het antwoord??

De onderzoekers hadden toegang tot de wachtwoorden die in de gebruikers database waren opgeslagen. Die waren zwak beschermt. Je kunt je voorstellen dat als wachtwoorden in gewone 'plaintext' waren opgeslagen er vrijwel geen tijd nodig was geweest om de wachtwoorden 'te kraken'. Met de gebruikte, zwakke, versleuteling duurde het gewoon wat langer.

Testen van sterkte gebeurt doorgaans op de aanname dat het door de server versleutelde wachtwoord niet beschikbaar, dan wel niet kraakbaar is, en alles (slim) uitproberen de enige manier van kraken is.
09-09-2016, 08:22 door Anoniem
Door Anoniem: Ik ben geen crypto kenner maar ben daarom wel benieuwd wat het zegt over het MD5 algoritme dat blijkbaar vooral lange wachtwoorden met een herhaling erin te kraken waren, of die een bekende zin uit een song of boek bevatten.
Bij een goede hashing zou het toch niet uit moeten maken of elk deel van je wachtwoord origineel is, of dat het drie of vier keer hetzelfde stuk is?

De enige garantie die je van een goede hash krijgt, is dat "proberen" de enige manier is om de input te zoeken die uit de hash kwam .
Er zijn veel te veel mogelijkheden om "alles" te proberen .

Maar van de reeks mogelijkheden die je kunt proberen loont het dus erg om te zoeken op de manier zoals mensen passwords /passphrases kiezen .
En het blijkt dat ook relatief lange (normale) zinnen met variaties erop nog in de set zitten die password krakers gebruiken, en dat daar nog rendement uit komt.
09-09-2016, 08:57 door Anoniem
Door Anoniem: Wie kan mij even helpen? Als je die lange wachtwoorden stopt in de site: https://howsecureismypassword.net/ dan komen er onwaarschijnlijk lange kraaktijden uit van miljarden jaren. HOE KAN HET DAN DAT DIE WACHTWOORDEN ZIJN GEKRAAKT?

Wie heeft het antwoord??

Alle die wachtwoorden zijn niet gekraakt..!! Maar het wachtwoord van de Database.. En als de wachtwoordenlijst in database niet goed beveiligd is kan deze in plain tekst omgezet worden. Dus als je al jou 'moeilijke' wachtwoorden in een bestand stopt en dat bestand met "PASSWORD" beveiligd zijn alle moeilijke wachtwoorden zeer makkelijk te achterhalen..

Nu het dan toch over wachtwoorden gaat: ik vind dat ze wereldwijd een NORM moeten aanmeten wat betreft wachtwoorden. Zo heeft iedere website (of whatever) zijn eigen criteria omtrent wachtwoorden. De een Kan GEEN moeilijke tekens hebben en de andere wil perse Getallen of Hoofd- en kleine letters gemengd. Ik vind dat met Wachtwoorden ALLE TEKENS in ELKE VOLGORDE mag worden gebruikt met een minimum van 8 tekens en geen maximum.
09-09-2016, 10:52 door Anoniem
Door Aha:
Als ik de in het redactioneel artikel gevolgde link lees en daar zie dat nummer twee op de lijst van meestgebruikte wachtwoorden 'password' is, zou ik het toch ook ècht in mijn broek moeten doen van het lachen, was dit niet zo treurig.

Nee dat is niet treurig, dat is juist heel goed!
Je moet voor nutteloze logins zoals bij last.fm nooit je wachtwoord gebruiken wat je ook voor belangrijke logins zoals
van je e-mail of je bank gebruikt.
Dus een ander wachtwoord. Nou kun je nerdy gaan doen en zo'n wachtwoord beheer tool gaan gebruiken, maar voor
de gemiddelde internetter is dat een brug tever en ook totaal onnodig: die gebruikt op last.fm gewoon het wachtwoord
123456 of password of lastfm en daarmee is zijn login afdoende beveiligd. Dat je vaak dit soort simpele wachtwoorden
ziet betekent dat veel mensen het goed doen met betrekking tot wachtwoord gebruik bij belangrijke en niet belangrijke
sites.
09-09-2016, 18:06 door Anoniem
Deze Video legt goed uit wat er is gebeurd.

https://www.youtube.com/watch?v=7U-RbOKanYs
12-09-2016, 11:04 door Anoniem
Door alle mogelijke combinaties van tekens te versleutelen met een bepaald algoritme en in een tabel te zetten hoef je niet elk wachtwoord opnieuw te kraken (brute force), maar alleen te vergelijken met de versleutelde wachtwoorden in de tabel. Dat gaat vele malen sneller omdat je slechts éénmalig elk wachtwoord hoeft te versleutelen. Optimalisatie ;-) Dat zijn de genoemde rainbow tabellen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.