190.000 kodeord fra hacket blog-server knækket på under én time

Et frit tilgængeligt program, en arbejdsstation med en otte-kerners Xeon-processor og en ordliste med 1,9 millioner almindelige kodeord var alt, hvad der skulle til at knække de fleste kodeord.

På mindre end én time havde sikkerhedseksperter fra Duo Security knækket de første 190.000 kodeord fra den password-fil, som blev stjålet ved et hackerangreb mod Gawker Medias server i løbet af weekenden.

Læs også: Password-genbrug spreder Gizmodo-hackerangreb til Twitter

I løbet af kort tid lykkedes det ved hjælp af blot én enkelt arbejdsstation med en Intel Xeon-processor med otte kerner at knække cirka 400.000 kodeord.

Ligesom i tidligere sager, hvor store password-filer fra velbesøgte websteder er blevet lækket og knækket, så afslører filen, at et stort antal brugere anvender usikre adgangskoder. Det mest almindelige kodeord hos brugerne af Gawker Medias websteder, som omfatter blandt andet Gizmodo, var således 123456 efterfulgt af klassikeren 'password'.

Duo Security knækkede den originale password-fil ved hjælp af det frit tilgængelige program John the Ripper og en ligeledes frit tilgængelig ordliste med cirka 1,9 millioner ord. Sikkerhedseksperterne havde først filtreret mængden af passwords ned fra cirka 1,3 millioner til 748.000, men de lod ikke programmet køre længe nok til at knække samtlige 748.000 kodeord.

De cirka 400.000 kodeord, som blev knækket, viste imidlertid, at 99,5 procent af kodeordene udelukkende bestod af tal og bogstaver, selvom brugerne havde haft mulighed for også at bruge andre tegn. Ud af de adgangskoder bestod 61 procent udelukkende af små bogstaver, og ni procent bestod udelukkende af tal.

Sikkerhedseksperterne bider dog mærke i, at der faktisk er et stort antal unikke adgangskoder. 77 procent af adgangskoderne bruges således kun af én enkelt bruger. Det tal forventer eksperterne dog vil falde, hvis man analyserer samtlige kodeord fra systemet.

En anden analyse af de offentliggjorte passwords viser også, at den mest populære længde af et password var seks tegn. Det skriver Wall Street Journal-bloggen Digit.

Omkring 40 procent havde en længde på seks tegn, mens 3-4 procent nøjedes med kun fire tegn. Omkring 30 procent var dog så artige, at de brugte et password på otte eller flere tegn.

Selvom Gawkers netmedier omfatter Gizmodo, Lifehacker og andre let nørdede websites, hvor man kunne forvente mere sikkerhedskyndige læsere, havde én ud af 60 af Gawkers brugere valgt det helt igennem håbløse password '123456'

Gawker Media blev i weekenden hacket af gruppen Gnosis, som fik adgang til stort set alt hos firmaet. Filen med alle brugernes passwords var dog krypteret, men krypteringen var så sløset, at det var muligt at hive oplysninger ud om 188.279 brugere. Disse data har Gnosis siden lagt ud til fri download.

Sikkerhedsfirmaet Sophos har også kigget på en delmængde af kodeordene fra Gawker Media og hæfter sig ved, at der er mere end 3.000 ud af knapt 190.000 kodeord, som er 123456. Samtidig optræder navnene på Gawker Medias websteder også hyppigt på listen.

Sikkerhedskonsulent Graham Cluley fra Sophos kritiserer Gawker Media og andre websteder for ikke at sortere brugernes dårlige kodeord fra, når brugerne opretter sig. I den konkrete sag stillede Gawker end ikke krav om længden på kodeordet, og '0' er således nummer 11 på listen.

Ironisk nok har Gawker Media-webstedet Lifehacker skrevet flere artikler om sikre adgangskoder, men det er altså ikke alle læsere, der har ment, at det var nødvendigt på Lifehackers debatsystem.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (4)

Kommentarer (4)
Jens Rex

Jeg fik selv min konto cracket i den her Gawker farce, og brugte således et par timer på at oppe min passwordsikkerhed i går med Lastpass, for at være på den sikre side. Men jeg kan godt forestille mig at den her analyse ikke er repræsentiv for brugeres gennerelle valg af passwords. Jeg tror nok det står skidt til, men man skal da være mere end bare almindeligt tåbelig for at bruge "0" som password til sin Paypal- eller Amazon-konto. Til mere eller mindre ligegyldige blogs/fora/nyheds-sites er det nok meget almindeligt med et knapt så sikkert password.

Pierre Soelberg

Inden man går fuldstændig i selvsving over hvor usikre passwords folk kan finde på at bruge, så skal vi måske lige huske hvilken klasse websites der her et tale om: Et blog og community website (så vidt jeg kan forstå).

Jeg har også et hav af logins til den slags steder, og indrømmer gerne at de passwords jeg bruger der, er nogle nemme nogen og jeg genbruger også det samme password flere gange. Netop fordi de er ret ligegyldige. OK, så er de nemme at knække and so f** what !
Det vigtige er at de passwords man bruger den slags steder, ikke er de samme som man bruger i sin netbank, digital signatur, vigtige passwords med administrative rettigheder til arbejdsrelaterede ting osv., altså de steder hvor der faktisk er noget på spil.
Her gælder det om at bruge svære passwords. Problemet med svære passwords er at de også er sværere at huske, og da man helst ikke skal bruge det samme password flere steder, så er der simpelt hen grænser for hvor mange passwords man kan have gang i.
Derfor virker det tvært imod som om de her mennesker har gjort det rigtige, nemlig valgt et let password, når det der skulle beskyttes egentlig er ligegyldigt. Man må så bare håbe for dem at de bruger andre passwords til deres netbank, men det gør de nok, hvis der nu er tale om et nørde-site.
Det er dem der har brugt et svært password sådan et sted her, som de så også har brugt til deres netbank, der har et problem, ikke de andre.

Så fri os for flere krav om komplicerede passwords, med mindre det der skal beskyttes virkelig er vigtigt.

John Vedsegaard

Hvis man, som password, skulle bruge f.eks. et billede af sig selv, det kunne bare ligge på harddisken det vil typisk bestå af alle mulige og umulige tegn, man kunne nemt lave det så filendelsen var helt ligegyldig, indholdet kan f.eks. være en sekvens på 10KB forskellige tegn. Da man kun selv ved hvor filen ligger vil det være meget vanskeligt at hacke det (jeg har f.eks. 1.300.000 filer der kan vælges imellem).
Jeg ved ikke hvor mange sites der i det hele taget kan håndtere så lange passwords, men hackning ville blive besværliggjort.

I øvrigt har Pirre Soelberg helt ret, fornuftig brug af password eliminere stort set problemet helt.

Jesper Louis Andersen

Inden man går fuldstændig i selvsving over hvor usikre passwords folk kan finde på at bruge, så skal vi måske lige huske hvilken klasse websites der her et tale om: Et blog og community website (så vidt jeg kan forstå).

Præcis. Et sådan site burde benytte OpenID eller lignende. De har ingen grund til selv at drive password-systemet.

Det handler om at passwords skal være lavet ordentligt. Det rigtige valg er Key-Derivation-functions, hvor de tre nok bedste er PBKDF2-standarden, scrypt (af Colin Percival) og bcrypt (Niels Provos, mf, OpenBSD). Fælles for dem er at de kan styre præcis hvor mange passwords der kan prøves i sekundet (men et test af et password er så også dyrere). Der er derfor du gerne vil outsource password-check til nogen der har en masse regnekraft og har en hvis sikkerhed i forhold til dig.

Alle forsøg på at lave sit eget password-system vil fejle. Havde der nu været brugt bcrypt() eksempeltvist, så havde du nok haft en måned eller to før passwordet var blevet brudt. Det gør det sværere for en angriber for bliver han opdaget så har du tid til at reagere.

John's ide med at bruge et billede som seed har den ulempe at det fylder for meget og at det ikke er en hemmelighed.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 10:29

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017