Afgelopen weekend stalen hackers gegevens uit de database van Gawker Media, de uitgeverij achter onder andere de techsites Gizmodo en Lifehacker. De hackers zetten alle gegevens van de meer dan 1,3 miljoen geregisteerde gebruikers op internet.

123456

Het beveiligingsbedrijf downloadde die gegevens, wist de wachtwoorden te kraken en besloot ze te analyseren. Uit het onderzoek van het bedrijf blijkt dat veel wachtwoorden extreem eenvoudig zijn: Het populairste wachtwoord onder de gebruikers van de websites is ‘123456’, gevolgd door ‘password’ en ‘12345678’. Ook woorden als ‘monkey’, ‘gizmodo’ en ironisch genoeg ‘trustno1’ zijn erg populair als wachtwoord.

Duo Security gebruikt voor de analyse ruim 400 duizend wachtwoorden uit de database. Het kraakte de met DES beveiligde woorden op een acht-core Xeon systeem. Het bedrijf wist de eerste 200.000 wachtwoorden binnen een uur te kraken. Het bedrijf kon die wachtwoorden zo snel achterhalen omdat de gebuikte beveiliging, DES, relatief eenvoudig te ontcijferen is.

'Belachelijk eenvoudig'

“Het is zelfs belachelijk eenvoudig om DES te kraken”, zegt beveilingsspecialist HD Moore tegen onze zusteruitgave Network World. Hij legt uit dat de 56-bits DES-versleuteling die Gawker gebruikt al meer dan tien jaar gekraakt is. Toen kostte het een machine gebouwd door de Electronic Frontier Foundation overigens nog wel 56 uur om één met DES beveiligde tekenreeks te kraken.

”Een programma als John the Ripper is naast veel andere tools goed uitgerust om deze beveiliging met brute-force te kraken.”, zegt Moore. “Tegenwoordig is dat kraken nog eenvoudiger te doen door het gebruik van grafische processors “, voegt hij daar aan toe.