Tjek om dit password er lækket - på din egen pc

Illustration: Tania Andersen
Hvis man ikke er så glad for at skrive sine passwords i et tekstfelt på et hjemmeside, kan man gøre det hele offline. Vi viser, hvordan.

Tjenesten Pwned Passwords, der tjekker lækkede passwords, er netop blevet udvidet med en ny stak kompromitterede nøgler.

Læs også: Mere end en halv milliard lækkede kodeord gjort søgbare: Er dit på listen?

På tjenestens hjemmeside kan man tjekke, om éns kodeord skulle være blandt den kæmpe mængde, som tjenesten har indsamlet.

Men hvis man ikke lige har lyst til at skrive sine passwords ind i et tekstfelt på en webside, er der også andre fremgangsmåder. Vi viser her, hvordan vi gjorde, med Windows 10.

Først skal man downloade den ca. 8 gigabyte store, komprimerede tekstfil fra tjenesten.

Det kan gøres som direkte download i browseren eller via Bittorrent.

Dernæst skal filen pakkes ud. Man skal væres opmærksom på, at filen fylder 30,8 gigabyte.

Den er komprimeret med algoritmen 7-zip. Hvis man ikke har et kompressionsprogram, der kan klare det format, kan man på Windows downloade open source programmet 7zip.

Nu skal vi bruge et program, der kan læse og søge i meget store filer. Vi benytter her den gratis hex-editor HxD, som kan downloades her. Den er halvgammel, men kan gennemsøge de 30 gigabyte for en tekststreng på 30 sekunder, på min maskine.

Til sidst skal vi bruge SHA1-hashet af det password, vi vil teste.

Vi gemmer det i en tekstfil, som kan hedde test.txt.

Så benytter vi Windows Powershell. Den findes ved at klikke på søgefunktionen i Windows-bjælken forneden, og søge efter programmet.

Nu finder vi hash-værdien ved at indtaste følgende kommando i Powershell:

PS C:\Users\tan> Get-FileHash C:\Users\tan\Downloads\test.txt -Algorithm SHA1

hvor stien udskiftes til der, hvor man har gemt filen med kodeordet.

Hvis filen indeholder strengen "passw0rd" (uden anførselstegn), svarer programmet således:

Algorithm       Hash                                                                   Path
---------       ----                                                                   ----
SHA1            7C6A61C68EF8B9B6B061B28C348BC1ED7921CB53                               C:\Users\tan\Downloads\test.txt

Vi åbner nu lækfilen pwned-passwords-2.0.txt i HxD, og søger på hashkoden via menuen "search" > "find".

Illustration: Tania Andersen

Nu går der op til 30 sekunder (på min maskine), og så markerer HxD, at den har fundet strengen - hvilket altså vil sige, at "passw0rd" er lækket, og ikke bør benyttes.

Illustration: Tania Andersen
Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bo Nørgaard

Det vil sige at man kan teste en SHA1 hash for en tekst (password) i en database lavet ud fra kendte passwords, og det kan bruges til hvad...

SHA1 har siden 2005 ikke været betragtet som sikker, og siden 2010 har det ikke været anbefalet at bruge den.

Og at gemme Hash værdier uden Salt... jøsses, det har være anbefalt at anvende Salt siden 1970'erne...

  • 3
  • 7
Torben Jensen

HaveIBeenPwned har ingen værdi hvis de passwords de gemmer er med unikke salts, så ville folk jo ikke kunne tjekke om deres ellers forventede unikke password ikke var så unik igen... De er ikke en authentication service, de fortæller om noget af dit data er endt i hænderne på andre end du havde tiltænkt ved en kriminel handling.
Og nej, SHA1 er ikke sikker, men de passwords de "skjuler" er heller ikke sikre, de har lagt i klartekst på internettet - ellers ville de ikke være i databasen.

  • 3
  • 0
Peter Hansen

Til dem der af den ene eller anden årsag ikke anvender Windows og PowerShell men en afart af Unix eller Linux er den alternative kommando
echo -n password l sha1sum l awk '{print $1}'

macOS:
echo -n "password" l openssl sha1

Erstat det fritstående bogstav "l" i det ovenstående med en lodret pipe-streg, som Version2's kommentarsystem af mildest talt uforståelige årsager forbyder mig at skrive.

http://www.wxhexeditor.org/ - virker på tværs af Windows, macOS og Linux...

  • 6
  • 0
Kjeld Flarup Christensen

Man skulle mene at Troy Hunt (manden bag sitet) har styr på sikkerhed :) Han kunne sådan set også have valgt at lave liste med MD5, for meningen er blot at du ikke skal kunne læse brugernes oprindelige passwords.


Sagen er den, at han ikke har det oprindelige password, men kun SHA1. Og selvom SHA1 er usikker, så koster det dog ressourcer at gå fra SHA1 til en klartekst password, og så ved man endda ikke om det er det rigtige password.
Så skulle han have lavet en MD5 hash af SHA1 hash'en, så du skulle igennem to trin for at tjekker dit password.

OG hvis password'et et ude, så er de ude, uanset om han lægger der i MD5 eller ej.

  • 0
  • 2
Sune Marcher

Sagen er den, at han ikke har det oprindelige password, men kun SHA1.


Forkert, Troy har skam passwords (og tilhørende emails) i klartekst, men som han skriver:

"I'm providing this data in a way that will not disadvantage those who used the passwords I'm providing. As such, they're not in clear text and whilst I appreciate that will mean some use cases aren't feasible, protecting the individuals still using these passwords is the first priority."

Og selvom SHA1 er usikker, så koster det dog ressourcer at gå fra SHA1 til en klartekst password, og så ved man endda ikke om det er det rigtige password.


I teorien korrekt, men i praksis forkert - der er så lille risiko for hash-kollission, specielt for datamængder så korte som passphrases, så i praksis vil du så godt som altid finde frem til source passphrase.

  • 3
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize