Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 33 reacties
Submitter: zupahrstan

Op de site 'have I been pwned' van beveiligingsonderzoeker Troy Hunt zijn de inloggegevens van 65 miljoen Tumblr-gebruikers verschenen. Deze zijn afkomstig van een hack die in 2013 heeft plaatsgevonden. De wachtwoorden zijn gehasht en voorzien van een salt.

TumblrEerder deze maand had Tumblr laten weten dat het bij de uitgelekte gegevens zou gaan om 'een aantal e-mailadressen van Tumblr-gebruikers'. Nu blijkt echter dat het om veel meer gegevens gaat. Deze werden op de site The Real Deal te koop aangeboden voor 0.4 bitcoin, omgerekend ongeveer 192 euro. De verkoper is dezelfde die ook de LinkedIn-gegevens verkocht onder de naam 'Peace'. Op de site van de onderzoeker kunnen gebruikers nagaan of hun gegevens deel uitmaken van de hack.

Het is niet duidelijk welk algoritme voor het hashen van de gegevens is gebruikt; de verkoper beweerde dat het zou gaan om het verouderde sha1-algoritme, zo laat Motherboard in een bericht weten. Het feit dat er ook een salt aan de wachtwoorden is toegevoegd, heeft het gevolg dat ze moeilijker te kraken zijn. De verkoper vraagt dan ook een relatief lage prijs voor de gegevens.

Onderzoeker Troy Hunt schat in dat de helft van de wachtwoorden inmiddels gekraakt zou kunnen zijn, omdat de gegevens al in 2013 zijn buitgemaakt. Op zijn site neemt de Tumblr-hack nu de derde plaats in van grootste hacks tot nu toe, na Adobe en LinkedIn. Hunt vermoedt zelf dat er een verband is tussen de recente grote incidenten en verwacht dat er hoogstwaarschijnlijk nog meer grote hacks bekend zullen worden in de nabije toekomst.

Voor het weekend bood verkoper 'Peace' ook een verzameling van 360 miljoen inloggegevens van MySpace-gebruikers aan via dezelfde site, waarvan er 111 miljoen een gebruikersnaam hebben. De wachtwoorden waren alleen gehasht en niet voorzien van een salt. Een analyse wees uit dat het meestgebruikte wachtwoord 'homelesspa' bleek te zijn; dit was populairder dan 'password1' of 'abc123', aldus Motherboard. De populariteit bleek het gevolg te zijn van het feit dat dit wachtwoord werd gebruikt om automatisch accounts te genereren.

Gerelateerde content

Alle gerelateerde content (20)
Moderatie-faq Wijzig weergave

Reacties (33)

Wat houd het toevoegen van een salt toe? Ik lees het vaker maar toch wel benieuwd hoe dat werkt.
Twee identieke plain-tekst wachtwoorden zullen ook een identieke hash opleveren. Een salt zorgt ervoor dat de hash toch verschillend is. Dit doet men door extra characters (de salt) toe te voegen aan het wachtwoord alvorens te hashen. De salt is verschillend per wachtwoord, waardoor je bij identieke wachtwoorden toch een andere hash krijgt.

In het geval van een hack zou het zonder salt voor de hackers heel makkelijk maken om identieke wachtwoorden er uit te plukken, vandaar dat men dit doet als extra beveiliging.
Waar komt die salt vandaan dan? Die moet toch ook bekend zijn bij het inloggen om de (salted) hash te kunnen reproduceren en te matchen tegen het opgeslagen wachtwoord in de database?

Is dat doorgaans n salt voor het hele systeem, of wordt zoiets op iets arbitrairs, maar statisch, als bijvoorbeeld een user ID gebaseerd?

Kan de salt dan niet samen met de rest van de (hashed) passwords gestolen worden, daarmee de complete toegevoegde waarde van een salt teniet doen?

[Reactie gewijzigd door CU2morO op 30 mei 2016 17:12]

Die salt wordt soms los in de database opgeslagen, maar kan ook gebaseerd zijn op bepaalde gebruikersgegevens; zoals een e-mailadres, gebruikersnaam of registratiedatum (om maar wat te noemen).

Als de salt voor het hele systeem hetzelfde is, dan hebben gebruikers met hetzelfde wachtwoord ook hetzelfde gehashte wachtwoord.

[Reactie gewijzigd door Artaex op 31 mei 2016 13:32]

Als dit het geval is kun je de salt net zo goed weg laten.
Niet helemaal; de salt zorgt dan alsnog voor dat de hacker de salt moet hebben/raden n nieuwe rainbowtables moet genereren. Het koopt alvast wat tijd.
Ok dat is inderdaad waar :)
Er zijn verschillende mogelijkheden, de ene al wat complexer dan de andere.

Je kan inderdaad 1 salt nemen voor alles. Op het eerste zicht lijkt dat inderdaad niet veel toe te voegen, maar er bestaat zoiets als rainbow tables. Door de salt zijn die al nutteloos omdat je dan bij het genereren ook die salt moet gebruiken.

Een andere manier is een random salt gebruiken en samen met de username opslaan. Heeft zowat hetzelfde effect als de eerste oplossing, maar bijkomend zijn 2 hashes van wachtwoorden (dus met elk een unieke salt) uniek.

Redelijk veelgebruikt is het paswoord en de username (of ander gekend attribuut) samen plakken en hashen. Hier zit een extra laagje veiligheid in doordat je op basis van de DB dump niet kan zeggen welke waarden samen geplakt zijn.

Dan kan je ook nog combinaties van die manieren gebruiken, wat de kans kleiner maakt dat het "algoritme" dat je gebruikt hebt achterhaald wordt.
De salt zorgt er voornamelijk voor dat identieke wachtwoorden voor individuele gebruikers een andere hash opleveren. Dit maakt rainbow tables namelijk nutteloos.
https://en.wikipedia.org/wiki/Rainbow_table

Het is daarom niet perse nodig om iets heel spannends met de salt te doen, om die reden staat deze meestal met een fixed size, of achter de hash, of de wachtwoord hash is met een delimiter en de salt base64 encoded.

Het genereren van een salt wordt meestal door een random string generator gedaan.
je kan bijvoorbeeld id maal een priemgetal berekenen en dan naar hexadecimaal converteren in je code. Of de created_at value o.i.d. het gaat erom dat de hacker niet door een wachtwoord te ontcijferen meerdere wachtwoorden heeft (omdat ze er in de database hetzelfde uitzien) maar ze allemaal een voor een moet ontcijferen.
dankjewel, helemaal duidelijk nu.
Het toevoegen van een salt per gebruiker maakt het gebruik van zogenaamde "rainbow tables" onmogelijk. Dit zijn lange lijsten van wachtwoorden en bijbehorende hash. Zonder salt kan je gewoon eenmalig een lijst van wachtwoorden gaan hashen en dan gaan vergelijken of die hashes voorkomen. Zoals Joecatshoe het al zei: hetzelfde wachtwoord geeft zonder salt dezelfde hash.

Door te salten moet je dit voor iedere individuele account weer opnieuw gaan doen waardoor de hoeveelheid werk om te kraken veel groter is. Maar SHA1 is een heel snel hash-algoritme, je kan miljoenen combinaties per seconde proberen waardoor bruteforcen dus zeker een optie is.
Vanwaar het verband van 'homelesspa' met Tumbler dan?
Zijn er effectieve cijfers ergens te vinden van de hoeveel gebruikte wachtwoorden?

nvm, zelf ff verder opgezocht:

"LeakedSource believes that this password was automatically generated by MySpace. “The accounts with password “homelesspa” seem to be automatically generated as all the emails that use this password follow the same format,” a blog post reads.

Other popular passwords included “password1” (585 503 instances), “abc123 (569 825 instances)” and “123456” (487 945 instances). Other passwords that proved popular on MySpace include: iloveyou, princess1, blink182 and password2."

source; https://www.htxt.co.za/20...word-used-was-homelesspa/

source; https://www.leakedsource.com/blog/myspace

[Reactie gewijzigd door Jexecute op 30 mei 2016 13:47]

MySpace* en het vermoeden is dat 'homelesspa' gebruikt is door bots die automatisch myspace accounts aan aan het maken waren.

http://news.softpedia.com...illion-users-504583.shtml
Below are tables with the top MySpace passwords and the top email domains. Just take note that the first entry, "homelesspa," was automatically generated for a number of accounts that had the same email format, possibly bots or fake users.

Read more: http://news.softpedia.com...04583.shtml#ixzz4A8g4o8im
Hmm niet mooi voor de gebruikers. Zelf gebruik ik tumblr niey.

Maar zie net dat ik blijkbaar een account bij Adobe heb. :+ gelukkig houd ik "rommel" en serieuze websites goed gescheiden qua wachtwoorden
Ik denk dat je een keer iets van Adobe uitgeprobeerd hebt, het kan ook zo iets simpels zijn als een PhotoShop voor op de mobiel, waarbij je toestemming hebt gegeven voor onder andere je identiteit. Ik heb op die manier ook een account bij Adobe, en ik stond er ook wel van te kijken
Tegenwoordig lees je wel elke week over weeral een nieuwe hack waarbij ze x aantal honderdduizenden passwords hebben gestolen. Dat gaat nog leuk worden als al die iot apparaten gaan gepusht worden door fabrikanten 8)7
Daar is het probleem groter dan enkel wachtwoorden alleen. Dergelijke apparaten zijn qua beveiliging lek als een mandje en zullen in de meeste gevallen geen updates krijgen ook, zeker niet voor meerdere jaren. Kijk maar eens naar smartphones of smart tv's. En om nu elk jaar nieuwe IoT spullekes gaan lopen te vervangen wordt ook kostbaar.
Natuurlijk ook handig erbij te vermelden dat bij de linkedin hack van 'peace' een gigantische hoeveelheid nep emails bevatte.
Een analyse wees uit dat het meestgebruikte wachtwoord 'homelesspa' bleek te zijn, dit was populairder dan 'password1' of 'abc123', aldus Motherboard.
homeslesspa was dan ook een automatisch gegeneerd wachtwoord van myspace. Wel een erg vreemd wachtwoord en ook raar dat dit niet een random gegeneerd wachtwoord is. Totaal 855.478 accounts met dit wachtwoord.

Edit: Blijkbaar werden deze wachtwoorden gebruikt door een enorme hoeveelheid bots.

[Reactie gewijzigd door Zenety op 30 mei 2016 14:04]

@ de mensen die niet kunnen googlen en de vraag liever hier neerzetten dan in het google zoekvenster:
https://www.leakedsource.com/blog/myspace
Due to some accounts having two passwords, there are 427,484,128 total passwords for only 360 million users. Additionally, the accounts with password "homelesspa" seem to be automatically generated as all the emails that use this password follow the same format. We also suspect given the number of passwords with a 1 at the end, MySpace required numbers and letters at some point.
Ik had nog een account wat ik allang niet meer gebruikt heb. Een check leverde op dat men direct een wachtwoord wijziging eiste. Dus account was al gelocked.
Gelukkig niet bij Grindr :P
Hoezo, begin je het al benauwd te krijgen, dan? :P

Maar ik schrik toch steeds weer van het enorm grote aantal slechte wachtwoorden. Ik kan mij toch echt niet voorstellen dat mensen wachtwoorden als 123456 gewoon serieus gebruiken en dan denken dat ze veilig zijn. Pff.
Alhoewel... heb maar al te vaak mensen geholpen die hun geboortedatum als wachtwoord gebruikten. Overal...

Een schone taak aan ons (en de hackers die alles op internet dumpen) om de gebruiker voor te lichten over goed wachtwoordgebruik. :)
Probleem is niet het slechte wachtwoord. Met een goed beveiligde site zit je dan ook goed.

Een groter probleem is het overal gebruiken van datzelfde wachtwoord. Als het dan mis gaat zoals bij een hack als deze ben je zwaar de lul. En mogelijk al 3 jaar lang als je in de tussentijds je wachtwoord voor alle sites waar je je hetzelfde wachtwoord als voor Tumblr gebruikte nooit hebt gewijzigd.
Helemaal mee eens. Daarom zei ik ook: "Overal...".

Wat ik ook zo gevaarlijk vind, is het gebruik van controlevragen wanneer je het wachtwoord vergeten bent. Bij vele van die vragen is het antwoord gewoon vrij goed te achterhalen door op social media te zoeken naar: meisjesnaam van je moeder, naam van het huisdier, etc.
Gelukkig niet bij Grindr :P
Nog niet :+

Maar door de accounts bij tumblr, Adobe en snelkookpan.nl te combineren hebben ze je al aangemeld

:)
@Redactie Kunnen we een feestje organiseren, als het aantal gestolen accounts gelijk of meer is dan het aantal mensen dat gebruik maakt van het medium Internet?

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True