En ny samling af crackede passwords og e-mailadresser begyndte i sidste uge at cirkulere på internettet. Databasen indeholder brugernavn og koder fra en række tidligere hackerangreb, og indeholder i alt kodeord for 773 millioner e-mailadresser.
Det skriver Troy Hunt, som driver hjemmesiden Have I Been Pwned?.
Samlingen indeholder for flere e-mailadresser mere end et password, og der er i alt 1,16 milliarder unikke kombinationer af e-mailadresser og passwords.
Interessant nok indeholder databasen ”kun” 21 millioner unikke passwords. Det betyder, at hver password i gennemsnit bruges til mere end 36 forskellige e-mailadresser.
Gamle læk og gamle passwords
Mange af de passwords og e-mailadresser der optræder i databasen, kommer fra tidligere læk, men Troy Hunt lægger vægt på, at det ikke altid er let at identificere databasers oprindelse.
Hvis man vi vide, om ens personlige e-mailadresse optræder i nogle databaser af crackede passwords, kan man foretage en søgning på Have I Been Pwned?.
Hvis ens e-mailadresse giver positivt resultat, kan man med fordel ændre sit password, men ofte vil der være tale om læk fra flere år tilbage, så brugere der jævnligt skifter password, er ikke på samme måde sårbare.
Ligeledes behøver man typisk ikke bekymre sig, hvis man ikke genbruger sine passwords på flere hjemmesider (fx hvis man bruger en password-manager), da det lækkede password i så fald ikke kan bruges til meget.
En hurtig rundspørge på Version2’s kontorer viste, at tre af syv journalisters personlige e-mailadresser optræder i Collection #1.
Hashing med salt er ikke altid nok
De mange crackede passwords sætter fokus på en sårbarhed i den måde passwords lagres i databaser. Den almindelige procedure er at gemme passwords hashed form. At hashe er en matematisk operation, som i teorien kun kan udføres i én retning. Således kan man bekræfte at et password er korrekt ved at køre det igennem en hashing-algoritme, og se at man får det samme hash, men man kan ikke gendanne en kode ud fra det hashet alene.
For at undgå, at hackere benytter sig at store tabeller med allerede hashede passwords, kombinerer man passwords med et såkaldt salt. Saltet er en tilfældig streng, som kombineres med passwordet før man hasher, og er i god praksis en unik streng for hver eneste kode.
Men proceduren med hashing og salt er støt på et problem: computere er blevet meget hurtige, og hashingalgoritmerne tager ikke lang nok tid at køre. Det betyder at man bare med en relativt hurtig gaming-pc kan afprøve flere milliarder passwords, afhængigt af hvilken hashing-algoritme der bliver brugt.
Sammen med udbredelsen af mere avancerede dictionary-angreb resulterer den hurtige moderne hardware i, at lækkede databaser kan crackes langt hurtigere end før i tiden, hvilket er en del af grunden til, at så store passworddatabaser nu dukker op på internettet.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
