Tjek om dit password er lækket - på din egen pc

27. februar 2018 kl. 13:5514
Tjek om dit password er lækket - på din egen pc
Illustration: Tania Andersen.
Hvis man ikke er så glad for at skrive sine passwords i et tekstfelt på et hjemmeside, kan man gøre det hele offline. Vi viser, hvordan.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Tjenesten Pwned Passwords, der tjekker lækkede passwords, er netop blevet udvidet med en ny stak kompromitterede nøgler.

På tjenestens hjemmeside kan man tjekke, om éns kodeord skulle være blandt den kæmpe mængde, som tjenesten har indsamlet.

Version2 Infosecurity

It-sikkerhedsmessen Infosecurity Denmark 2018 byder på mere end 110 seminarer og cases, 25 udvalgte keynotes og 80 udstillere. To dage med masser af faglig viden og netværk.

Konferenceprogrammet dækker både compliance, cybercrime, IoT, nye teknologier som AI og blockchain samt cloud security og giver et unikt indblik i de nyeste it-sikkerhedsmæssige udfordringer på et højt fagligt niveau.

Du bliver opdateret om både de nyeste tekniske landvindinger fra spydspidsforskere og får indblik i aktuelle trusselsbilleder fra nogle af verdens bedste rådgivere.

Flere oplysninger

Vil du gå direkte til tilmelding, klik her.

Men hvis man ikke lige har lyst til at skrive sine passwords ind i et tekstfelt på en webside, er der også andre fremgangsmåder. Vi viser her, hvordan vi gjorde, med Windows 10.

Artiklen fortsætter efter annoncen

Først skal man downloade den ca. 8 gigabyte store, komprimerede tekstfil fra tjenesten.

Det kan gøres som direkte download i browseren eller via Bittorrent.

Dernæst skal filen pakkes ud. Man skal væres opmærksom på, at filen fylder 30,8 gigabyte.

Den er komprimeret med algoritmen 7-zip. Hvis man ikke har et kompressionsprogram, der kan klare det format, kan man på Windows downloade open source programmet 7zip.

Nu skal vi bruge et program, der kan læse og søge i meget store filer. Vi benytter her den gratis hex-editor HxD, som kan downloades her. Den er halvgammel, men kan gennemsøge de 30 gigabyte for en tekststreng på 30 sekunder, på min maskine.

Til sidst skal vi bruge SHA1-hashet af det password, vi vil teste.

Vi gemmer det i en tekstfil, som kan hedde test.txt.

Så benytter vi Windows Powershell. Den findes ved at klikke på søgefunktionen i Windows-bjælken forneden, og søge efter programmet.

Nu finder vi hash-værdien ved at indtaste følgende kommando i Powershell:

  1. PS C:\Users\tan> Get-FileHash C:\Users\tan\Downloads\test.txt -Algorithm SHA1

hvor stien udskiftes til der, hvor man har gemt filen med kodeordet.

Hvis filen indeholder strengen "passw0rd" (uden anførselstegn), svarer programmet således:

  1. Algorithm Hash Path
  2. --------- ---- ----
  3. SHA1 7C6A61C68EF8B9B6B061B28C348BC1ED7921CB53 C:\Users\tan\Downloads\test.txt

Vi åbner nu lækfilen pwned-passwords-2.0.txt i HxD, og søger på hashkoden via menuen "search" > "find".

Nu går der op til 30 sekunder (på min maskine), og så markerer HxD, at den har fundet strengen - hvilket altså vil sige, at "passw0rd" er lækket, og ikke bør benyttes.

14 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
14
9. november 2018 kl. 13:22

Du skal bruge grep -i m.h.p. ignorere upper/lower case. Ellers virker det ikke da filen anvender store bogstaver og sha1sum genererer små bogstaver. Vigtigt !! Og hvis du bruger grep -F -i går de hurtigere.

13
4. marts 2018 kl. 16:09

Dagens mindste tips: Listen bruger store bogstaver, sha1sum bruger små. Jeg anbefaler grep -i.

11
2. marts 2018 kl. 10:56

Sagen er den, at han ikke har det oprindelige password, men kun SHA1.

Forkert, Troy har skam passwords (og tilhørende emails) i klartekst, men som han skriver:

"I'm providing this data in a way that will not disadvantage those who used the passwords I'm providing. As such, they're not in clear text and whilst I appreciate that will mean some use cases aren't feasible, protecting the individuals still using these passwords is the first priority."

Og selvom SHA1 er usikker, så koster det dog ressourcer at gå fra SHA1 til en klartekst password, og så ved man endda ikke om det er det rigtige password.

I teorien korrekt, men i praksis forkert - der er så lille risiko for hash-kollission, specielt for datamængder så korte som passphrases, så i praksis vil du så godt som altid finde frem til source passphrase.

10
2. marts 2018 kl. 09:29

Man skulle mene at Troy Hunt (manden bag sitet) har styr på sikkerhed :) Han kunne sådan set også have valgt at lave liste med MD5, for meningen er blot at du ikke skal kunne læse brugernes oprindelige passwords.

Sagen er den, at han ikke har det oprindelige password, men kun SHA1. Og selvom SHA1 er usikker, så koster det dog ressourcer at gå fra SHA1 til en klartekst password, og så ved man endda ikke om det er det rigtige password. Så skulle han have lavet en MD5 hash af SHA1 hash'en, så du skulle igennem to trin for at tjekker dit password.

OG hvis password'et et ude, så er de ude, uanset om han lægger der i MD5 eller ej.

9
28. februar 2018 kl. 18:12

Problemet med here-strings (som Eskild bruger) er at de inkluderer et afsluttende linjeskift. Man er nødt til at bruge echo med parameteren -n (som undertrykker det), jævnfør Peter Hansens løsning.

8
28. februar 2018 kl. 16:41

Man skulle mene at Troy Hunt (manden bag sitet) har styr på sikkerhed :) Han kunne sådan set også have valgt at lave liste med MD5, for meningen er blot at du ikke skal kunne læse brugernes oprindelige passwords.

7
28. februar 2018 kl. 13:11

Din version virker umiddelbart ikke Eskild.

Hvis man tager udgangspunkt i passw0rd som i artiklen, så giver Peters rigtig nok

7c6a61c68ef8b9b6b061b28c348bc1ed7921cb53

Hvorimod din giver

e343f0ffdbc90c692ed1a4b0962fd02e52f25cf0

6
28. februar 2018 kl. 11:00

Uden pipes til Linux:

 awk '{print $1}' <<< $(sha1sum <<<password )

Denne har jeg IKKE prøvet , men gætter at den virker:

 grep "$(awk '{print $1}' <<< $(sha1sum <<<password ) )" fil-fra-pwned-passwords

5
27. februar 2018 kl. 22:52

Til dem der af den ene eller anden årsag ikke anvender Windows og PowerShell men en afart af Unix eller Linux er den alternative kommando

  1. echo -n password l sha1sum l awk '{print $1}'

macOS:

  1. echo -n "password" l openssl sha1

Erstat det fritstående bogstav "l" i det ovenstående med en lodret pipe-streg, som Version2's kommentarsystem af mildest talt uforståelige årsager forbyder mig at skrive.

http://www.wxhexeditor.org/ - virker på tværs af Windows, macOS og Linux...

4
27. februar 2018 kl. 22:16

For jeg har testet med min gamle kode fra før jeg startet med en password manager og den fandt min kode hele 8 gange. Og nej det var ikke bare password eller 12345678.

3
27. februar 2018 kl. 20:31

HaveIBeenPwned har ingen værdi hvis de passwords de gemmer er med unikke salts, så ville folk jo ikke kunne tjekke om deres ellers forventede unikke password ikke var så unik igen... De er ikke en authentication service, de fortæller om noget af dit data er endt i hænderne på andre end du havde tiltænkt ved en kriminel handling. Og nej, SHA1 er ikke sikker, men de passwords de "skjuler" er heller ikke sikre, de har lagt i klartekst på internettet - ellers ville de ikke være i databasen.

2
27. februar 2018 kl. 19:45

Det vil sige at man kan teste en SHA1 hash for en tekst (password) i en database lavet ud fra kendte passwords, og det kan bruges til hvad...

SHA1 har siden 2005 ikke været betragtet som sikker, og siden 2010 har det ikke været anbefalet at bruge den.

Og at gemme Hash værdier uden Salt... jøsses, det har være anbefalt at anvende Salt siden 1970'erne...

1
27. februar 2018 kl. 15:11

Er der nogen sammenhæng til IP Adresser, brugernavne og disse famøse 30GB af passwords ? og hvad er password til - et Windows login ?