eerder dit jaar werden ongeveer 6,5 miljoen LinkedIn account wachtwoord hashes gepubliceerd op een hackers’ forum. De hashes waren eenvoudig SHA1 vertaalt berekend uit de wachtwoorden van de gebruiker, zoals opgeslagen in de LinkedIn backend infrastructuur.

het duurde niet lang voordat hackers ze begonnen te kraken, meer dan de helft van hen brak in bijna geen tijd.

er zijn twee belangrijke redenen waarom zo ‘ n snel kraken mogelijk was:

* het gebruik van de SHA1-functie zelf
* fast GPU ‘ s

laten we eens kijken naar beide.

de SHA1-functie is voornamelijk ontworpen om de zwakkere functie MD5 te vervangen. Het is gemaakt om snel te zijn, en dat is het ook. Op een AMD / ATI 7970 grafische kaart berekent “hashcat” (zie https://hashcat.net/oclhashcat-plus/) iets meer dan twee miljard SHA1 hashes per seconde. Dit betekent dat veel combinaties in een zeer korte tijd kunnen worden getest.

om dit “probleem” op te lossen, bestaan moderne en veiligere algoritmen, zoals de sha512crypt functie die gebruikt wordt in Ubuntu en recente versies van Fedora Core Linux. In plaats van 2 miljard hashes per seconde, dezelfde GPU kaart scheuren slechts een beetje meer dan 12.000 sha512crypt combinaties per seconde. Bijvoorbeeld, het controleren van een miljard sha512crypt combinaties duurt ongeveer 24 uur; maar minder dan 1 seconde voor SHA1.

vanwege de huidige snelle GPU’ s is een goed advies als het gaat om beveiliging het kiezen van een complex wachtwoord, dat:

* bevat zowel hoofdletters als kleine letters
* bevat ten minste één spatie teken
* bevat getallen
* bevat meerdere symbolen zoals !@#
* het is niet gebaseerd op een bekend woord
* het is minstens 12 tekens groot, maar hoe langer hoe beter

veel van de mensen die ik ken gebruiken wachtzinnen die tussen de 20 en 50 tekens groot zijn. Dit is een goed advies dat het onwaarschijnlijk maakt dat zelfs in het geval dat uw wachtwoord hash wordt gelekt, niemand zal kraken.

stel je mijn verbazing voor vandaag toen ik probeerde in te loggen op een ouder Hotmail-account en het volgende kreeg:

Microsoft-accountwachtwoorden kunnen maximaal 16 tekens bevatten. Als u een wachtwoord hebt gebruikt dat meer dan 16 tekens bevat, voert u de eerste 16 in.

Microsoft-accountwachtwoorden kunnen maximaal 16 tekens bevatten.
als u een wachtwoord hebt gebruikt dat meer dan 16 tekens heeft, voer dan de eerste 16 tekens in.

mijn vorige wachtwoord was ongeveer 30 tekens groot en nu werkt het niet meer. Echter, Ik kon inloggen door het typen van alleen de eerste 16 tekens.

deze beperking is bekend (zie Graham Cluley ‘ s uitstekende bericht over de wachtwoordlimieten van verschillende diensten) maar wat mijn aandacht trok was dat door het wachtwoord te snijden naar 16 tekens, Het zou werken.

om deze truc met oudere wachtwoorden uit te voeren, had Microsoft twee keuzes:

* sla volledige wachtwoorden in platte tekst op in hun db; vergelijk alleen de eerste 16 tekens
* bereken alleen de hash op de eerste 16; negeer de rest

het opslaan van wachtwoorden in platte tekst voor online services is een absoluut nee-nee in beveiliging. De andere keuze zou kunnen betekenen dat sinds haar oprichting, Hotmail was stil met behulp van alleen de eerste 16 tekens van het wachtwoord.

om eerlijk te zijn, Weet ik niet welke slechter is.

PS: mijn leraar zei altijd positief denken en proberen te eindigen met een optimistische noot. Dus hier gaat: “bedankt Google voor GMail”.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.