Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Jak w krótkim czasie odzyskać hasła z 11 milionów hashy BCrypt? [Aktualizacja]
Po głośnym wycieku danych i kodów źródłowych z serwisu randkowego Ashley Madison rozmaitym analizom poddano skróty haseł należących do ponad 30 milionów dotkniętych włamaniem użytkowników.
Wydawało się, że odzyskiwanie haseł będzie bardzo czasochłonne. Zastosowana w tamtejszym serwisie funkcja skrótu BCrypt należy do najbardziej odpornych na tego typu próby.
Dodatkowo, korzystając z wbudowanego w BCrypt mechanizmu zwiększania złożoności obliczeniowej (każde zwiększenie współczynnika Work Factor o jeden zwiększa dwukrotnie czas obliczeń) ustawionego na wartość 12, programiści Ashley Madison naprawdę zadbali o bezpieczeństwo haseł swych użytkowników.
Niestety, w innym fragmencie kodu odnaleziono funkcje, które najprawdopodobniej na potrzeby zarządzania sesją użytkowników wyznaczały skróty haseł z wykorzystaniem funkcji MD5 (stwierdzono pewnie, że tutaj akurat BCrypt jest zbyt wolny)! Efekt? W krótkim czasie atakując MD5 zamiast BCrypta udało się odzyskać ponad 11 milionów haseł…
Powyższy przykład świetnie obrazuje więc praktyczne różnice w bezpieczeństwie dwóch wspomnianych funkcji oraz bezmyślność programistów Ashley Madison…
[Aktualizacja]
Opublikowane zostały również statystki (TOP 100) najpopularniejszych wśród użytkowników Ashley Madison haseł. Jak widać, setki tysięcy internautów korzystających z tegoż serwisu nie zatroszczyło się o swe bezpieczeństwo online.
HASŁO |
LICZBA WYSTĄPIEŃ |
---|---|
123456 | 120511 |
12345 | 48452 |
password | 39448 |
DEFAULT | 34275 |
123456789 | 26620 |
qwerty | 20778 |
12345678 | 14172 |
abc123 | 10869 |
pussy | 10683 |
1234567 | 9468 |
696969 | 8801 |
ashley | 8793 |
fuckme | 7893 |
football | 7872 |
baseball | 7710 |
fuckyou | 7458 |
111111 | 7048 |
1234567890 | 6572 |
ashleymadison | 6213 |
password1 | 5959 |
madison | 5219 |
asshole | 5052 |
superman | 5023 |
mustang | 4865 |
harley | 4815 |
654321 | 4729 |
123123 | 4612 |
hello | 4425 |
monkey | 4296 |
000000 | 4240 |
hockey | 4191 |
letmein | 4140 |
11111 | 4077 |
soccer | 3936 |
cheater | 3908 |
kazuga | 3871 |
hunter | 3869 |
shadow | 3831 |
michael | 3743 |
121212 | 3713 |
666666 | 3704 |
iloveyou | 3671 |
qwertyuiop | 3599 |
secret | 3522 |
buster | 3402 |
horny | 3389 |
jordan | 3368 |
hosts | 3295 |
zxcvbnm | 3280 |
asdfghjkl | 3174 |
affair | 3156 |
dragon | 3152 |
987654 | 3123 |
liverpool | 3087 |
bigdick | 3058 |
sunshine | 3058 |
yankees | 2995 |
asdfg | 2981 |
freedom | 2963 |
batman | 2935 |
whatever | 2882 |
charlie | 2860 |
fuckoff | 2794 |
money | 2686 |
pepper | 2656 |
jessica | 2648 |
asdfasdf | 2617 |
1qaz2wsx | 2609 |
987654321 | 2606 |
andrew | 2549 |
qazwsx | 2526 |
dallas | 2516 |
55555 | 2501 |
131313 | 2498 |
abcd1234 | 2489 |
anthony | 2487 |
steelers | 2470 |
asdfgh | 2468 |
jennifer | 2442 |
killer | 2407 |
cowboys | 2403 |
master | 2395 |
jordan23 | 2390 |
robert | 2372 |
maggie | 2357 |
looking | 2333 |
thomas | 2331 |
george | 2330 |
matthew | 2298 |
7777777 | 2294 |
amanda | 2273 |
summer | 2263 |
qwert | 2263 |
princess | 2258 |
ranger | 2252 |
william | 2245 |
corvette | 2237 |
jackson | 2227 |
tigger | 2224 |
computer | 2212 |
— WS
Interesujące jest hasło „DEFAULT”, jakoś nie chce mi się wierzyć żeby ponad 30 tysięcy ludzi takie ustawiło. Czyżby jakiś mechanizm resetowania hasła? Przeglądał ktoś źródła pod tym kątem?
Podejrzewa się, że w serwisie tym działało sporo fikcyjnych kont (symulujących kobiety). Administracja starała się najprawdopodobniej w ten sposób zachęcać do aktywności użytkowników płci męskiej :). Hasło DEFAULT może rzeczywiście mieć z tym coś wspólnego.
Lista jest spreparowana, nie ma hasła dupa. :)
…”asshole” się nie liczy? ;)
najlepszy batman 2935