Det er skræmmende let at knække kodeord, hvis man har adgang til en password-fil med hash-værdierne.
Det satte en amerikansk it-journalist fra Ars Technica for at bevise, og han har dokumenteret sin første dag som 'script-kiddie' i et blogindlæg.
Script-kiddie er en nedsættende betegnelse, som oftest bruges om uerfarne, typisk yngre, personer, som bruger færdige opskrifter og værktøjer til at udføre hacking.
Ars Technica-journalist Nate Anderson beskriver selv sine evner udi hacking som begrænset til at bruge port 25 på universitetets mailserver til at spoofe afsenderen på en e-mail.
Men det er let at lære, hvordan man knækker kodeord. Der findes en række værktøjer, som man kan fodre med password-filer, ordlister og filtre for at forsøge at knække kodeord.
Brød eget kodeord på et sekund
Kodeord, som giver adgang til eksempelvis internettjenester, gemmes typisk i en fil, hvor man ikke gemmer selve kodeordet, men derimod en hash-værdi, som er en unik værdi, der genereres af en énvejsalgoritme.
Alt efter algoritmen kan man bryde kodeordene ved at køre en liste med mulige kodeord gennem den samme algoritme og sammenligne resultaterne med de kodeord, man har i password-filen.
Selv på en almindelig bærbar pc kunne Nate Anderson således knække cirka 8.000 kodeord fra en password-fil, som var hashet med MD5-algoritmen, på blot få sekunder.
Han var også i stand til at bryde sine egne kodeord, og det var en vigtig lektion.
»At se dit eget kodeord blive brudt på mindre end ét sekund er den slags onlinelektie, alle burde lære mindst én gang,« skriver Nate Anderson.
Andre typer algoritmer er dog noget vanskeligere at bryde, og hvis man bruger et kodeord på mindst ni tegn, som ikke findes på de lister over kendte kodeord, som cirkulerer på internettet, så er man bedre sikret.
