Mere end en halv milliard lækkede kodeord gjort søgbare: Er dit på listen?

Sikkerhedsmanden Troy Hunt har sammensat en ny liste med kodeord fra datalæk.

Hvis du bruger et kodeord, der har figureret i et datalæk, så er det i udgangspunktet en god idé at udskifte kodeordet, så hackere ikke kan misbruge det til at få adgang til diverse tjenester, hvor det samme kodeord måtte være genbrugt.

Og retningslinjer fra den amerikanske standardiseringsorganisation NIST anbefaler direkte organisationer at blokere for, at brugere kan anvende kodeord, der tidligere har floreret i datalæk.

For at hjælpe brugere og organisationer med at detektere, om et kodeord er en del af et datalæk, har den australske sikkerhedsmand Troy Hunt siden august sidste år kørt tjenesten Pwned Passwords, som netop er blevet udvidet.

På Pwned Passwords er det muligt at se, om et givent kodeord har været en del af et datalæk. Tjenesten baserer sig på hashværdier af lækkede kodeord i SHA1-format. Informationerne er sammensat fra diverse datalæk, som florerer rundt om på nettet.

Læs også: Tjek om dit password er lækket - på din egen pc

I et blogindlæg om projektet påpeger Hunt, at SHA1 ikke egner sig til brug for kodeords-hashing i et produktionsmiljø. Algoritmen er for hurtig og dermed nem at brute-force. Men han mener alligevel, SHA1 er velegnet til Pwned Passwords til at obfuskere kodeordene med, så de ikke er umiddelbart læsbare. Kodeordene her er jo også allerede lækkede, kan man sige.

Listen har Troy Hunt her i februar måned i år opdateret fra version 1 med 306 millioner hashede kodeord til version 2, der indeholder 501 millioner SHA1-værdier fra kodeord. Sådan da. Hunt vurderer, at der også er poster baseret på skrammeldata og ikke egentlige kodeord. Men det er underordnet i forhold til formålet, påpeger han.

Test online

Listen kan hentes og eksempelvis implementeres i ens eget system, ligesom det er muligt at teste online, om et kodeord har været en del af et datalæk.

Det lyder måske ikke særligt betryggende at indtaste et kodeord på en tredjepartsside, der hævder at ville hjælpe dig med at se, om kodeordet figurerer i et datalæk. Det kan jo være en smart måde at få fat i folks kodeord på.

Og af samme grund fortæller Hunt i blogindlægget, hvordan han i forhold til version 1 af listen udstyrede søgeboksen med en advarsel om, at brugere ikke skal indtaste kodeord, der aktivt bliver brugt. Heller ikke på Hunts tjeneste.

Som Hunt bemærker, så læser folk dog ikke altid den slags.

I forhold til version 2 af Pwned Passwords har Hunt dog med hjælp fra Junade Ali fra CloudFlare sat søgningen op til at være mere privacy-orienteret. Det sker i erkendelse af, at folk faktisk indtaster deres aktive kodeord.

Den øgede privacy vil kort fortalt sige, at Hunts tjeneste ikke får tilsendt hele kodeordets hashværdi, men kun de første fem tegn. Herefter bliver alle hash-værdier med de fem indledende tegn returneret til klienten. Det kan eksempelvis være 475 hashværdier. På klientsiden bliver det nu valideret, om en af de 475 hashværdier matcher det indtastede kodeord.

Processen er nærmere forklaret i Hunts blogindlæg.

En tæller

Den seneste udgave af Pwned Passwords omfatter selvsagt ikke alle datalæk i hele verden, men med 506 millioner poster kommer den godt omkring. Udover at der er kommet flere lækkede kodeord til på listen, så er hash-værdierne blevet suppleret med en tæller, der viser, i hvor mange datalæk kodeordet optræder.

Hunt bemærker, at hvis et kodeord optræder i mange datalæk, så kan det skyldes, at den samme bruger har anvendt kodeordet mange steder, ligesom det kan skyldes, at kodeordet er et, som flere brugere uafhængigt af hinanden er kommet på. Begge dele gør det til et dårligt kodeord.

Nogen vil nok mene, at selvom et kodeord kun optræder i ét læk, så er det et læk for meget.

Hunt fortæller, at flere har kontaktet ham på baggrund af version 1-listen. Her var meldingen, at det er et 'usability nightmare' at blokere for 320 millioner kodeord - og 501 millioner vil gøre den situation endnu værre.

Så tælleren i forhold til, hvor mange gange et kodeord optræder i datalæk, er indført for at fungere som en indikator på, hvor dårlig en idé, det er at vælge kodeordet. Hunt har i den forbindelse ikke nogen direkte anbefaling til, hvor mange gange et kodeord skal optræde, før brugeren helt skal forhindres i at vælge det.

»It depends,« skriver han.

En besøgende bemærker i øvrigt i kommentarsporet under Hunts indlæg, at 'correct horse battery staple' optræder i to datalæk.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Nikolaj Strauss

.... indtaste sit password og sende det til et site, for at sikre sig at ingen har ens password? Lyder som lidt af et paradoks.

Okay, havde lige skippet informationen ang "men kun de første fem tegn", men kan da være fatalt nok (hvis man stoler på "kun 5 tegn" ;))

Tror jeg venter til jeg kan downloade en liste af alle passwords.

Sune Marcher

.... indtaste sit password og sende det til et site, for at sikre sig at ingen har ens password? Lyder som lidt af et paradoks.


Nej.

Du skal naturligvis stole på at sidens funktionalitet ikke lige pludseligt ændres til faktisk at sende password, men som det er nu: måden sitet virker på, er at dit indtastede password bliver hashed. Tidligere blev den fulde hash-værdi sendt til haveibeenpwnd, hvor det nu kun er de første fem karakterer af hashen, hvorefter du får en liste af samtlige hashes med dette prefix tilbage - og denne liste søges så igennem clientside for match.

Hvis jeg indtaster "bombeturban" (sha1sum 00e42590b189ffbf7b9c989e59c03b0be9e0e86b) requester min browser https://api.pwnedpasswords.com/range/00E42 , som pt. returnerer en liste med 444 hash:count værdier. (00e42)590b189ffbf7b9c989e59c03b0be9e0e86b er ikke med i listen, så mit root password er heldigvis sikkert.

Hvis jeg indtaster "yomomma" (sha1sum 1116baaf66d66db2cdb4c4270ee855025e9a578b) får jeg 480 hits på 1116B prefixet, og på linje 318 ser man "AAF66D66DB2CDB4C4270EE855025E9A578B:6896" - yomomma er altså et forholdsvist populært password.

Nikolaj Strauss

"Du skal naturligvis stole på at sidens funktionalitet ikke lige pludseligt ændres til faktisk at sende password".... ja, præcis. Det gør jeg ikke når det drejer sig om noget så ømtåleligt som passwords.

Og ja, jeg har muligvis en sølvpapirshat på hovedet. ;)

Kunne selvfølgelig bare gemme hans side lokalt, hvis alt funktionalitet sker klientside. Så langt har jeg ikke checket.

Sune Marcher

ja, præcis. Det gør jeg ikke når det drejer sig om noget så ømtåleligt som passwords.

Og ja, jeg har muligvis en sølvpapirshat på hovedet. ;)


Det er skam ikke sølvpapirshat. Jeg stoler på Troy Hunt, men som han selv skriver:
"It goes without saying (although I say it anyway on that page), but don't enter a password you currently use into any third-party service like this! I don't explicitly log them and I'm a trustworthy guy but yeah, don't."

Efter opdateringen hvor det kun er de første fem karakterer af hash-værdien der bliver sendt, kan man ikke længere indtaste en hash-værdi på haveibeenpwnd siden.

Log ind eller Opret konto for at kommentere