Uit onderzoek van Tweakers.net blijkt dat veel geregistreerde gebruikers in de praktijk een relatief zwak wachtwoord hebben ingesteld. In minder dan een half uur bleek de helft van de versleutelde wachtwoorden eenvoudig te kraken.
Er gaat geen maand voorbij waarin Tweakers.net niet bericht over gekraakte websites en uitgelekte databases - reden te meer om ervoor te zorgen dat bij Tweakers.net de boel op orde is. Mede daarom heeft Tweakers.net eind vorige maand de opslag van wachtwoorden verbeterd, waarbij onder meer het gebruik van de zwakke md5-methode is uitgefaseerd.
Omdat we benieuwd waren wat er zou zijn gebeurd als de oorspronkelijke wachtwoordendatabase was uitgelekt, hebben we zelf de digitale breekijzers uit de kast gehaald en losgelaten op de ruim 330.000 wachtwoorden in de database.
Om de hashes te kraken hebben we hashingtools gebruikt die de rekenkracht van de gpu benutten. Dit bleek in de praktijk zelfs zo snel te gaan dat het downloaden van een rainbow table om de wachtwoorden te kraken, langer zou hebben geduurd. Ook hebben we uit diverse lijsten woorden verzameld om een dictionary attack te kunnen uitvoeren.
Deze aanpak bleek efficiënter dan een brute-forceaanval. Het zou immers vele uren geduurd hebben om alle mogelijke wachtwoorden van maximaal acht tekens te berekenen, terwijl we met de vrij verkrijgbare woordenlijsten in minder dan een half uur 48,9 procent van de wachtwoordhashes wisten te kraken.
In totaal wisten we op redelijk eenvoudige wijze 195.000 wachtwoorden te kraken, waarbij het bij 55.000 stuks kinderspel was; voor deze wachtwoorden had de tool slechts 14 seconden nodig om ze te kraken.
Aantal karakters | Aantal accounts |
---|---|
0 | 1 |
1 | 13 |
2 | 68 |
3 | 397 |
4 | 3138 |
5 | 8082 |
6 | 24308 |
7 | 16648 |
8 | 75160 |
9 | 32210 |
10 | 19455 |
11 | 8625 |
12 | 4740 |
13 | 1753 |
14 | 947 |
15 | 324 |
Nota bene: zoals ook in de uitgebreidere .plan is vermeld, is dit onderzoek uitsluitend door medewerkers van Tweakers.net verricht. De benodigde gegevens zijn vernietigd en niet aan derden ter beschikking gesteld. Alleen een niet tot wachtwoorden herleidbaar overzicht van gebruikersnummers is bewaard om gebruikers met een zwak wachtwoord te kunnen waarschuwen.