eHarmony Daten verstoßen Lektionen: Cracking gehashte Passwörter kann auch einfach sein

2014-01-08  |  Comebuy News

Letzten Monat erlitten die dating Website eHarmony eine Datenschutzverletzung, in der mehr als 1,5 Millionen eHarmony Passwort-Hashes gestohlen und später online von der Hacker-Bande namens Doomsday Preppers abgeladen wurden. Der Crypto-basierte "Hash" Prozess soll um gespeicherte Kennwörter zu verbergen, aber Trustwaves SpiderLabs-Abteilung sagt, eHarmony dabei viel besser getan haben könnte, denn es dauerte nur 72 Stunden, etwa 80 % der 1,5 Millionen eHarmony gehashte Passwörter zu knacken, die weggeworfen wurden.

Comebuy Verwandte Artikel: Dating Website eHarmony Kennwort BreachLinkedIn Kennwort Verletzung Spawns Spam Campaign'LeakedIn bestätigt ' web app prüft auf kompromittierten LinkedIn-PasswordsFAQ: LinkedIn-Verletzung: Was KnowLast FM Mitglieder (und andere) müssen nach vermuteten Hack Kennwortänderung erzählt

Die gedumpten eHarmony Kennwörter knacken war nicht allzu schwer, sagt Mike Kelly, Security Analyst bei SpiderLabs, die Tools wie OclHashcat und John the Ripper verwendet. In der Tat, sagt er, es war einer der "einfachsten" Herausforderungen, die er je Stand. Es gibt viele Gründe, warum das so ist, also beginnend mit der Tatsache der gebrochenen Kennwörter "gehasht wurden haben können", aber sie "gesalzen waren nicht," das sagt er, "drastisch die Zeit, die notwendig wäre, um sie zu knacken erhöhen würde."

Hintergrund: Dating Website eHarmony bestätigt Kennworts Verletzung

He erinnert daran, dass die Passwörter mit einem Crypto-Algorithmus hashing ist ein guter Anfang, um das Kennwort zu verschlüsseln, aber durch das Hinzufügen der "Salz", der eine zufällige Zeichenkette im Prozess ist der "salted Hash" weit stärkeren Schutz. eHarmony auch das MD5-Format verwendet wurde, das etwas schwach von Kryptographen heute gilt fügt Kelly.

Andere Aspekte, die das Kennwort eHarmony gemacht knacken so einfach das ist, "sie wurden die Kennwörter im Groß-und Kleinschreibung-Modus speichern", sagt Kelly. "sie eliminiert die Großbuchstaben," fügte hinzu, dass dies drastisch, die Zeit reduziert, sie zu knacken. SpiderLabs erkennt die Möglichkeit, dass die Angreifer, die eHarmony geschlagen, einige Passwörter geändert haben können, da kein einziges Passwort mehr als dreimal gefunden wurde. Die beliebteste Länge des Kennworts sieben Zeichen war, sagte SpiderLabs.

Die Kennwörter verwendet von den Website-Besuchern eHarmony zeigt, dass Namen von Sportmannschaften, Hunde, Staaten und männlichen und weiblichen Namen den Grundstein für viele Passwörter bildeten. Das beliebteste Hockey-Team war die Minnesota Wild und die beliebtesten Fußball-Nationalmannschaft war die St. Louis Rams.

Ellen Messmer ist leitender Redakteur bei Network World, IDG-Publikation und Webseite, wo sie News und Technik Trends mit Bezug zu Informationssicherheit deckt.

Lesen Sie mehr über WAN-Verbindung in Network World Wide Area Network Abschnitt.

« Back