www.svethardware.cz
>
>

Hackeři prolomili už 11 milionů hesel ukradených seznamce Ashley Madison

Hackeři prolomili už 11 milionů hesel ukradených seznamce Ashley Madison
, , aktualita
V červenci ukradli hackeři záznamy více než 36 milionů lidí ze seznamky Ashley Madison, která se specializuje na hledání partnerů pro manželskou či jinou nevěru. Data byla zveřejněna a 11 milionů hesel hashovaným pomocí MD5 už bylo prolomeno.



reklama
Ashley Madison je online seznamka, která slouží k hledání partnerů a partnerek pro nevěru. V červenci 2015 byla ale hacknuta a hackeři ze skupiny The Impact Team byli schopni získat data přes 36 milionů uživatelů seznamky. Hesla byla zašifrována pomocí algoritmu bcrypt, jehož rozšifrování by mělo trvat minimálně desítky let. Amatérská skupina CynoSure Prime vzala tato ukradená data a zjistila zajímavou skutečnost. Přestože spousta hesel je skutečně zašifrována pomocí algoritmu bcrypt a tedy v podstatě v normální časovém horizontu nerozšifrovatelná, okolo 15 milionů hesel sice využívalo uložení hesla pomocí bcrypt, ale nechyběl ani MD5 hash. A MD5 je tak slabý hashovací algoritmus, že je rozšifrovatelný v podstatě okamžitě.


Ashley Madison logo


Nebylo těžké zjistit, že tento MD5 hash se skládá z uživatelského jména převedeného na malá písmena, dvou dvojteček a hesla, taktéž převedeného na malá písmena. Poněvadž uživatelské jméno se ví, dvojtečky není problém přilepit, zkouší se tedy jen brutální silou kombinace všech možných hesel. Díky tomu, že jde o MD5 hash, dá se toto provést extrémně rychle. Poté, co vypadne heslo, vyzkouší se šifrování získaného hesla pomocí bcryptu. Pokud výsledek sedí s tím v databázi, heslo je rozlousknuto. Pokud nesedí, je patrné, že bylo převedeno na malá písmena a zkouší se různé kombinace malých a velkých písmen již rozlousknutého slova. U hesla s 8 písmeny je to celkově 2^8, tedy 256 kombinací (místo "heslo" se zkusí třeba "Heslo" nebo "HESLO". To není nezvládnutelné.

Nicméně v praxi toto nebylo v podstatě potřeba, neboť 90 % uživatelů mělo hesla se všemi malými písmeny, a tak tuto operaci bylo nutno provést jen u 10 % případů. Takto rozlouskli přes 11 milionů hesel z celkově 15,26 milionů. Přibližně 240 tisíc se jim rozlousknout nepodařilo, žádná kombinace získaného hesla se neshodovala s výsledkem bcryptu v databázi. Zde je možné, že MD5 v databázi bylo pozůstatkem a všechna nová hesla a jejich změny se už ukládaly pomocí bcryptu. Uživatel, který si změnil heslo, tak v databázi možná mohl mít staré heslo zahashované pomocí MD5, které se už neaktualizovalo a nové heslo bylo uloženo jen v bcryptu. Toto je ale jen spekulace.

Prolomení těchto 11 milionů hesel zabralo okolo 10 dní, takže počátkem příštího týdne by mělo být rozlousknuto všech 15 milionů hesel zašifrovaných nedostatečnou metodou MD5. Dalších přes 20 milionů účtů už využívalo pouze bcrypt a nemělo by být možné je v rozumné době prolomit. Skupina CynoSure Prime nemá v zájmu tato hesla zveřejňovat, jen chce demonstrovat, jak jednoduché bylo tuto ochranu prolomit. Připomeňme, že přítomnost na Ashley Madison není pro člověka ničím lichotivým, protože napovídá, že měl nějaký milostný poměr. Ostatně kvůli zveřejnění těchto citlivých informací si už minimálně jeden člověk vzal život.

Zdroj: wired.com, arstechnica.com, bbc.com
Nejpopulárnější tablety
reklama
Nejnovější články
Autonomní vozidlo Googlu se zapletlo do zatím asi největší nehody Autonomní vozidlo Googlu se zapletlo do zatím asi největší nehody
Ani samořízeným vozům se čas od času nevyhne nehoda, ale naprostou většinu z nich způsobí řidič běžného automobilu. Nejinak je tomu i v případě poslední nehody, která je nejspíš jednou z největších, do jaké bylo zapleteno SUV od Googlu.
Dnes,  aktualita, Jáchym Šlik
SpaceX vyzkoušelo Raptor, motor pro mise na Mars SpaceX vyzkoušelo Raptor, motor pro mise na Mars
Společnost SpaceX má s ohledem letů na Mars velice ambiciózní plány, do nichž spadá také využití silnějších motorů, než jaká má dnes k dispozici. Jedná se o vyvíjený Raptor, který byl nyní vůbec poprvé vyzkoušen.
Dnes,  aktualita, Jan Vítek
AMD Zen Plus: 7nm APU Gray Hawk přijde v roce 2019 AMD Zen Plus: 7nm APU Gray Hawk přijde v roce 2019
Nyní je aktuální generace APU Bristol Ridge, ale my už se můžeme podívat do budoucnosti, kde se rýsují již 7nm APU založená na procesorové architektuře Zen Plus. Jde o Gray Hawk chystané na rok 2019.
Dnes,  aktualita, Jan Vítek
Twitter nejspíše hledá, kdo by jej mohl koupit Twitter nejspíše hledá, kdo by jej mohl koupit
Agentura Reuters přinesla zprávu, že Twitter vyjednává s hned několika technologickými společnostmi a hledá mezi nimi tu, která by jej byla ochotna koupit. Není to ani tak moc překvapivé vzhledem k tomu, jaké finanční výsledky Twitter má v posledních letech.
Dnes,  aktualita, Jan Vítek
Šestá Civilizace se blíží, co budeme potřebovat? Šestá Civilizace se blíží, co budeme potřebovat?
Už za necelý měsíc si budeme moci zahrát šestý díl hry Civilization Sida Meiera. Vývojářské studio Firaxis společně s 2K Games nyní oznamuje, jaké jsou minimální a doporučené specifikace pro PC. Stačit bude i slabší sestava.
Dnes,  aktualita, Jan Vítek