Jak w krótkim czasie odzyskać hasła z 11 milionów hashy BCrypt? [Aktualizacja]

11 września 2015, 00:24 | Aktualności | komentarzy 5
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Po głośnym wycieku danych i kodów źródłowych z serwisu randkowego Ashley Madison rozmaitym analizom poddano skróty haseł należących do ponad 30 milionów dotkniętych włamaniem użytkowników.

Wydawało się, że odzyskiwanie haseł będzie bardzo czasochłonne. Zastosowana w tamtejszym serwisie funkcja skrótu BCrypt należy do najbardziej odpornych na tego typu próby.

Dodatkowo, korzystając z wbudowanego w BCrypt mechanizmu zwiększania złożoności obliczeniowej (każde zwiększenie współczynnika Work Factor o jeden zwiększa dwukrotnie czas obliczeń) ustawionego na wartość 12, programiści Ashley Madison naprawdę zadbali o bezpieczeństwo haseł swych użytkowników.

Ashley Madison -- ponad 40 milionów anonimowych ( ͡° ͜ʖ ͡°) użytkowników...

Ashley Madison — ponad 40 milionów anonimowych ( ͡° ͜ʖ ͡°) użytkowników…

Niestety, w innym fragmencie kodu odnaleziono funkcje, które najprawdopodobniej na potrzeby zarządzania sesją użytkowników wyznaczały skróty haseł z wykorzystaniem funkcji MD5 (stwierdzono pewnie, że tutaj akurat BCrypt jest zbyt wolny)! Efekt? W krótkim czasie atakując MD5 zamiast BCrypta udało się odzyskać ponad 11 milionów haseł…

Powyższy przykład świetnie obrazuje więc praktyczne różnice w bezpieczeństwie dwóch wspomnianych funkcji oraz bezmyślność programistów Ashley Madison…

[Aktualizacja]

Opublikowane zostały również statystki (TOP 100) najpopularniejszych wśród użytkowników Ashley Madison haseł. Jak widać, setki tysięcy internautów korzystających z tegoż serwisu nie zatroszczyło się o swe bezpieczeństwo online.

HASŁO

LICZBA WYSTĄPIEŃ

123456 120511
12345 48452
password 39448
DEFAULT 34275
123456789 26620
qwerty 20778
12345678 14172
abc123 10869
pussy 10683
1234567 9468
696969 8801
ashley 8793
fuckme 7893
football 7872
baseball 7710
fuckyou 7458
111111 7048
1234567890 6572
ashleymadison 6213
password1 5959
madison 5219
asshole 5052
superman 5023
mustang 4865
harley 4815
654321 4729
123123 4612
hello 4425
monkey 4296
000000 4240
hockey 4191
letmein 4140
11111 4077
soccer 3936
cheater 3908
kazuga 3871
hunter 3869
shadow 3831
michael 3743
121212 3713
666666 3704
iloveyou 3671
qwertyuiop 3599
secret 3522
buster 3402
horny 3389
jordan 3368
hosts 3295
zxcvbnm 3280
asdfghjkl 3174
affair 3156
dragon 3152
987654 3123
liverpool 3087
bigdick 3058
sunshine 3058
yankees 2995
asdfg 2981
freedom 2963
batman 2935
whatever 2882
charlie 2860
fuckoff 2794
money 2686
pepper 2656
jessica 2648
asdfasdf 2617
1qaz2wsx 2609
987654321 2606
andrew 2549
qazwsx 2526
dallas 2516
55555 2501
131313 2498
abcd1234 2489
anthony 2487
steelers 2470
asdfgh 2468
jennifer 2442
killer 2407
cowboys 2403
master 2395
jordan23 2390
robert 2372
maggie 2357
looking 2333
thomas 2331
george 2330
matthew 2298
7777777 2294
amanda 2273
summer 2263
qwert 2263
princess 2258
ranger 2252
william 2245
corvette 2237
jackson 2227
tigger 2224
computer 2212

— WS

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Interesujące jest hasło „DEFAULT”, jakoś nie chce mi się wierzyć żeby ponad 30 tysięcy ludzi takie ustawiło. Czyżby jakiś mechanizm resetowania hasła? Przeglądał ktoś źródła pod tym kątem?

    Odpowiedz
    • Podejrzewa się, że w serwisie tym działało sporo fikcyjnych kont (symulujących kobiety). Administracja starała się najprawdopodobniej w ten sposób zachęcać do aktywności użytkowników płci męskiej :). Hasło DEFAULT może rzeczywiście mieć z tym coś wspólnego.

      Odpowiedz
  2. Jurek

    Lista jest spreparowana, nie ma hasła dupa. :)

    Odpowiedz
  3. Pasta do zębów

    …”asshole” się nie liczy? ;)

    Odpowiedz
  4. batman

    najlepszy batman 2935

    Odpowiedz

Odpowiedz na Wojciech Smol