Fout in onkraakbare database legt wachtwoorden bloot
Ashley Madison leert: een beveiligingsprotocol is maar zo goed als zijn implementatie.
De gelekte gebruikersdatabase van datingsite Ashley Madison bevatte wachtwoorden die zijn gehasht met bcrypt. Dat is momenteel onkraakbaar, maar door een foutje zijn de wachtwoorden alsnog te achterhalen.
Fout in onkraakbare database legt wachtwoorden bloot
De gelekte gebruikersdatabase van datingsite Ashley Madison bevatte wachtwoorden die zijn gehasht met bcrypt. Dat is momenteel onkraakbaar, maar door een foutje zijn de wachtwoorden alsnog te achterhalen.
De inloggegevens waren beschermd met bcrypt waar elk wachtwoord door een uitgebreide hashfunctie is gehaald. Dit Blowfish-algoritme bevat onder meer een vertragingsfeature om brute force-aanvallen te frustreren. Het zou honderden jaren kosten om deze hashes uit te rekenen om de wachtwoorden te bemachtigen.
Kraakbare MD5-hashes
Waarschijnlijk om het inloggen te vergemakkelijken, gebruikte Ashley Madison tokens die ook zijn buitgemaakt bij de kaping van de site. Deze tokens zijn met MD5 aangemaakt en niet op basis van de bcrypt-hashes, maar vanaf de wachtwoorden in platte tekst, zo legt Ars Technica uit. In tegenstelling tot bcrypt, kun je bij MD5-hashes miljarden mogelijke wachtwoorden proberen per seconde.
De onderzoekers hebben zo 11 miljoen wachtwoorden van de 36 miljoen ontvreemde accounts weten te kraken. Interessant is dat latere MD5-tokens wel zijn aangemaakt op basis van de bcrypt-hash. Dat betekent waarschijnlijk dat iemand bij Ashley Madison het probleem met de tokens heeft ontdekt en gefixt.
Oe wow clickbaittitel tussen het nieuws. Laat ik tegen mijn gewoonte in eens reageren zonder het artikel te lezen. Misschien dat de titel anderen wel verleidt tot lezen. Voor de anderen: [Link]
Reageer
Preview