770 millioner brugernavne og passwords er lækket i ny database

Illustration: vladwel/Bigstock
En ny database, som cirkulerer på hackerfora, indeholder passwords i klartekst for 773 millioner e-mailadresser. Databasen fylder 87 gigabytes og indeholder 2,7 milliarder rækker, og går under navnet Collection #1

En ny samling af crackede passwords og e-mailadresser begyndte i sidste uge at cirkulere på internettet. Databasen indeholder brugernavn og koder fra en række tidligere hackerangreb, og indeholder i alt kodeord for 773 millioner e-mailadresser.

Det skriver Troy Hunt, som driver hjemmesiden Have I Been Pwned?.

Samlingen indeholder for flere e-mailadresser mere end et password, og der er i alt 1,16 milliarder unikke kombinationer af e-mailadresser og passwords.

Interessant nok indeholder databasen ”kun” 21 millioner unikke passwords. Det betyder, at hver password i gennemsnit bruges til mere end 36 forskellige e-mailadresser.

Læs også: Mere end en halv milliard lækkede kodeord gjort søgbare: Er dit på listen?

Gamle læk og gamle passwords

Mange af de passwords og e-mailadresser der optræder i databasen, kommer fra tidligere læk, men Troy Hunt lægger vægt på, at det ikke altid er let at identificere databasers oprindelse.

Hvis man vi vide, om ens personlige e-mailadresse optræder i nogle databaser af crackede passwords, kan man foretage en søgning på Have I Been Pwned?.

Hvis ens e-mailadresse giver positivt resultat, kan man med fordel ændre sit password, men ofte vil der være tale om læk fra flere år tilbage, så brugere der jævnligt skifter password, er ikke på samme måde sårbare.

Ligeledes behøver man typisk ikke bekymre sig, hvis man ikke genbruger sine passwords på flere hjemmesider (fx hvis man bruger en password-manager), da det lækkede password i så fald ikke kan bruges til meget.

En hurtig rundspørge på Version2’s kontorer viste, at tre af syv journalisters personlige e-mailadresser optræder i Collection #1.

Læs også: Sikkerhedsforsker frigiver database med 320 millioner kodeord, du ikke skal bruge

Hashing med salt er ikke altid nok

De mange crackede passwords sætter fokus på en sårbarhed i den måde passwords lagres i databaser. Den almindelige procedure er at gemme passwords hashed form. At hashe er en matematisk operation, som i teorien kun kan udføres i én retning. Således kan man bekræfte at et password er korrekt ved at køre det igennem en hashing-algoritme, og se at man får det samme hash, men man kan ikke gendanne en kode ud fra det hashet alene.

For at undgå, at hackere benytter sig at store tabeller med allerede hashede passwords, kombinerer man passwords med et såkaldt salt. Saltet er en tilfældig streng, som kombineres med passwordet før man hasher, og er i god praksis en unik streng for hver eneste kode.

Men proceduren med hashing og salt er støt på et problem: computere er blevet meget hurtige, og hashingalgoritmerne tager ikke lang nok tid at køre. Det betyder at man bare med en relativt hurtig gaming-pc kan afprøve flere milliarder passwords, afhængigt af hvilken hashing-algoritme der bliver brugt.

Sammen med udbredelsen af mere avancerede dictionary-angreb resulterer den hurtige moderne hardware i, at lækkede databaser kan crackes langt hurtigere end før i tiden, hvilket er en del af grunden til, at så store passworddatabaser nu dukker op på internettet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Gert G. Larsen

Jeg har tilmeldt en række domæner hos Troy Hunt, med rigtig mange brugere under. Umiddelbart kan vi se at godt og vel 1/3 af de oplyste lækkede brugere ikke findes, og aldrig har eksisteret.
Det lader til at hackerbanditterne engang i mellem opretter masser af falske entries i deres databaser, måske for at øge handelsprisen de kan få ud af datasættet.

  • 4
  • 0
Sune Marcher

Er det sikkert at tjekke sin mailadresse hos Troy? Vil det være mere sikkert gennem Tor?


Jeg har stor tillid til Troy, og Tor ville ikke hjælpe noget, da du kunne risikere at submitte enten email eller password, afhængig af den test du laver.

Han har ganske vidst lavet fx password-funktionen så det password du tester bliver hashed client-side, og kun de første få cifre af hash'en bliver sendt, hvorefter du får N hashes tilbage som din browser så checker imod... men det kode kunne jo lige pludseligt blive skiftet ud, eller der kunne være nogle ondsindede folk der laver DNS redirection eller lignende.

Så du får en upvote fra mig for at være forsigtig :-)

Shameless self promotion: jeg har leget med at lære Go sproget for at lave et tool der lokalt kan søge i password databasen. Det er super hurtigt, men kræver du downloader den mange gigabyte store password fil, og det er ikke brugervenligt med .exe downloads og så videre (endnu, anyway).

  • 5
  • 0
Dave Pencroof

Slut sidste år fik vi her igennem siden mulighed for at downloade hele hans database (ca 30 Gb, nok mere idag), samt en vejledning i hvordan det kunne bruges lokalt, så måske er det stadigt muligt, for det kan køres uden net, og så er INTET sendt, og INTET at frygte !!
Jeg er ret underdrejet for nuværende (de sidste 3 til 5 mdr), så jeg har ikke overskud til at finde det frem !!

  • 1
  • 0
Anne-Marie Krogsbøll

Tak for svar, Sune Marcher og Dave Pencroof. Måske er det sikrere og lettere bare at skifte sine passwords...

Men et forståelsesspørgsmål: Hvis man downloader hele databasen, kommer man så ikke i besiddelse af alle mulige andres passwords og oplysninger? Ville det overhovedet være lovligt? (og er det overhovedet lovligt, det Troy gør - selvom han, gør det i "det godes" tjeneste?)

Og hvorfor får man egentligt ikke besked direkte fra de steder, som har mistet/lækket ens passwords og oplysninger? En ting er, at mange tjenester/firmaer måske helst vil holde hemmeligt, at de er blevet hacket - men har de egentligt ikke pligt til at give brugerne besked?

  • 0
  • 0
Dave Pencroof

Jo. At skifte password med jævne mellemrum, og ikke bruge det samme alle steder, bruge et password til hver af de vigtige/følsomme steder, spærre sit Visa/dankort til kun de geo-områder der er i brug, tilmed ændre koder jævnligt på udstyr. Dk har vist at du hænger på den ved ID tyverier, og er du ikke kvik hænger du også på lån godkendt med nemID, plus du kan fysisk tvinges til at åbne din tlf hvis du bruger fingeraftryk. Der er meget at holde øje med, det er dog LIDT mere trygt ved brug af 2-faktor !

Hvis du kan bryde hans kryptering, så ros til dig !!

Da du i tidernes morgen oprettede en konto hos "X" fik du besked om at skifte password jævnligt, og er man ikke hulemand, så ved de fleste det godt MEN !!!
Så virksomheder og institutioner bruger dette til at holde den juridiske ryg fri, og som du selv skriver er det ikke godt for "rennomeet", som det står dd, var det i stedet noget der gav bonus og populær point, så skulle de squ nok komme ud over stepperne, og forestil dig hvis en virksomhed tvang dig til at skifte hver 3 til 6 mdr, så bliver det til de mest minimale ændringer som kan forudsiges, det har jeg oplevet adskellige gange, med win 10 online konto, skal der meget LIDT til for at få fat i ALT !
Pligt til at fortælle det, vil betyde lov indgreb, og formynderstaten er RIGELIGT omfattende allerede, det er næsten ulovligt selv at tænke, så NEJTAK herfra !
Vi har hver især ansvaret for os selv, vi skal squ selv tage vare på os selv hvad der har med os at gøre, samt gerne støtte dem med behov !
Der er mange steder der misbruger GDPR til at afvise at hjælpe dem med behov, bla må en sosu ikke hjælpe sin borger med at logge ind på Eboks, og masser af andre ting afvises med samme "begrundelse" !
Nå da, der kom jeg vist lidt på afveje SORRY, dumhed og idioti gør mig AARRRRGGHHHHHHHHHHHH !!

Hygge hejsa

  • 0
  • 0
Niels Dybdahl

Jeg har checket mine to adresser. Den jeg logger ind med, var ikke med, men den som jeg har som afsenderadresse var med.
Dvs at en del af emailadresserne bare er hentet fra diverse korrespondencer og ikke fra hackede systemer. Så de har ikke mit password.
Og hvis man har 2-faktor (2-trins) login på ens mailboks, så er der heller ikke nogen som kan bruge ens password til noget.
Så jeg ser ingen grund til at skifte password selvom min ene emailadresse står på listen.

  • 1
  • 0
Lars Bjerregaard

Er det sikkert at tjekke sin mailadresse hos Troy?

Min vurdering: Troy Hunt er nok en af de personer du vil møde på internettet som du kan have størst tillid til. Vurder det selv ved at læse hans blogindlæg og artikler, og se hvordan hans værktøjer er skruet sammen. Kig dernæst på de personer og instanser som har meldt sig under "jeg stoler på Troy" banneret, det er ret imponerende.

Hvem som helst kan checke din email adresse på https://haveibeenpwned.com/ så der er ingen forskel i sikkerhedsrisiko på om du selv eller andre gør det. Du bør helt klart checke alle dine email adresser for dig og dine kære på denne, og dernæst melde dig til funktionen for automatisk advisering.

Dit spørgsmål går nok mere på: Er det sikkert for mig at checke mine passwords på https://haveibeenpwned.com/Passwords ? Det her er lidt tricky - lad mig sige det på denne måde:
- Umiddelbart gælder rådet om at man aldrig skal sende sit password over nettet, til nogen eller noget man ikke ved hvem er, eller om man kan stole på dem.
- Troy Hunt har så implementeret en rimeligt sikker måde at gøre det på.
- Den nok mest respekterede password manager, 1password, har implementeret muligheden for check af passwords du indtaster imod Troy's service. Det ville de formodentligt ikke have gjort hvis de ikke har høj tillid til ham.
- Det klart optimale er at downloade datasættet selv, og så selv hashe sine passwords og checke mod denne. Det er dog temmeligt stort.

Spørgsmålet generelt om hvem man kan stole på er altid et svært spørgsmål, som kræver individuel vurdering. Efter grundig overvejelse er min personlige vurdering landet på: Ja, jeg kan godt stole på Troy Hunt. Men det er op til enhver selv at foretage den vurdering.

  • 3
  • 0
Lars Bjerregaard

Det er forståeligt hvis teknikken her glider lidt hen over manges hovedet...

Men et forståelsesspørgsmål: Hvis man downloader hele databasen, kommer man så ikke i besiddelse af alle mulige andres passwords og oplysninger? Ville det overhovedet være lovligt? (og er det overhovedet lovligt, det Troy gør - selvom han, gør det i "det godes" tjeneste?)


Nej, du kommer ikke i besiddelse af andre folks oplysninger, og der er ikke email adresser i password sættet. Det du får er et sæt af hashede passwords (læs: krypterede... sådan'agtigt) som har været lækket fra et eller andet system, på et eller andet tidspunkt, sammen med et tal for hvor ofte dette specifikke password har forekommet i lækkede datasæt. Det som man kan gøre med dette password datasæt er, at hashe sit/sine passwords på tilsvarende måde, og dermæst checke om disse findes i datasættet. Hvis det gør så betyder det, at dette password har været lækket, og man bør skifte det på det/de steder man har brugt det. Jeg er ret sikker på at det er lovligt, og at Troy også har checket det forhold grundigt.

Og hvorfor får man egentligt ikke besked direkte fra de steder, som har mistet/lækket ens passwords og oplysninger? En ting er, at mange tjenester/firmaer måske helst vil holde hemmeligt, at de er blevet hacket - men har de egentligt ikke pligt til at give brugerne besked?


Ja, det burde man få men det har absolut ikke været normen. Det er en af de het gode ting ved GDPR (som jeg forstår det) for os, at nu er der pigt til at oplyse dette til folk, or else....

  • 1
  • 0
Lars Bjerregaard

Da jeg tjekkedemin mailadr på
https://haveibeenpwned.com/
fik jeg følgende besked:

Oh no — pwned!
Pwned on 2 breached sites and found no pastes (subscribe to search sensitive breaches)

Bud på hvad følgerne kan være ?

Jeg har 2 trins indlog t min mailbox.


Det er godt at du har beskyttelse med 2-trins verifikation på din email service.
Det som beskeden betyder er, at du med den aktuelle email adresse har haft en konto på de 2 websites som den viser dig i resultatet, og at disse to konti har været med i et datalæk (ikke så godt). Det som du skal gøre er, at gå til disse to websites, og ændre dit password (til noget unikt og svært selvfølgelig).

  • 0
  • 0
Esben Madsen

Jeg har tilmeldt en række domæner hos Troy Hunt, med rigtig mange brugere under.


Uh, tak for det hint - jeg kan se at der var en gammel lastfm-konto jeg helt havde glemt jeg havde, men ellers var jeg obs på de breaches der var (jeg har unikke mails pr site, så det er ikke lige til at søge igennem andet end pr domain).
dropbox, linkedin, lastfm, og linux mint forum var synderne.

  • 0
  • 0
Log ind eller Opret konto for at kommentere