The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

07.06.2012 11:24  Крупнейшая утечка хэшей паролей, включающая пароли социальной сети LinkedIn

Неизвестный опубликовал на одном из ресурсов по совместному подбору паролей базу, в которой отражена информация об 6.5 млн паролей. В тот же день ещё один неизвестный опубликовал дополнительно 1.5 млн паролей. В опубликованных данных представлены SHA1-хэши паролей, не содержащие случайный salt, что упрощает словарный перебор. Примечательно, что подключившиеся к процессу подбора паролей энтузиасты за сутки смогли подобрать к хэшам более половины паролей.

Проанализировав представленные сведения, многие пользователи заметили, что в первой опубликованной базе (6.5 млн) содержатся хэши уникальных несловарных паролей, используемых только в социальной сети LinkedIn. В настоящее время администрация LinkedIn подтвердила факт того, что некоторые из записей действительно связаны с аккаунтами в LinkedIn, но причина утечки пока не ясна (в LinkedIn около 150 млн зарегистрированных пользователей). Все аккаунты в LinkedIn, для которых были опубликованы данные о паролях, заблокированы, а их владельцам отправлено уведомление со ссылкой для генерации нового пароля. Дополнительно отмечается, что во второй опубликованной базе (1.5 млн) были встречены хэши уникальных паролей, используемых в сервисе eHarmony.

Дополнение от Solar Designer: База в 6.5 миллионов уникальных хешей имеет отношение только к LinkedIn и может соответствовать примерно 10-15 миллионам аккаунтов (с учетом совпадающих паролей). Из нее за день было подобрано 65%. Хэши в базе представлены двух типов: raw SHA-1, и raw SHA-1 с затертыми первыми 20 битами. Среди чисто raw SHA-1 пароли в целом сложнее среднего уровня. Среди хэшей с очищенными 20 битами пароли среднего уровня (много очень слабых). Соответственно, процент подбора по этим частям базы очень разный. Уже есть патчи для hashcat и для John the Ripper с поддержкой этих частично затертых хешей. Одно из мнений почему опубликована не вся база LinkedIn связано с предположением, что опубликованы ровно те хеши, которые не подобрались с помощью какой-то rainbow-таблицы.

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: password, hash, crack
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 11:30, 07/06/2012 [ответить] [показать ветку] [···]    [к модератору]
  • +12 +/
    > не содержащие случайный salt

    Сеть профессионалов, да.

     
     
  • 2.6, Аноним (-), 12:18, 07/06/2012 [^] [ответить]     [к модератору]
  • +2 +/
    А они думали, что никто их не хакнет и ничего не утащит Корпорасты такие наивны... весь текст скрыт [показать]
     
  • 1.5, Тот самый аноним (?), 12:17, 07/06/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    ну и какова вероятность вскрыть пароли?
     
     
  • 2.7, paulus (ok), 12:22, 07/06/2012 [^] [ответить]    [к модератору]  
  • +4 +/
    Хакер Polimo сообщил, что уже подобрал 236 578 паролей из этой базы и продолжает работу
    http://www.xakep.ru/post/58811/default.asp
     
     
  • 3.12, Необъективный_ (ok), 13:20, 07/06/2012 [^] [ответить]    [к модератору]  
  • +4 +/
    Вот еще интересная ссылка: http://leakedin.org/
    Проверил пару банальных паролей: iamgod, iloveyou, hitech, k.,jdm --- есть в базе.
    Печально, что многие человеки не знают основ компьютерной безопасности.
    Даже в "сети профессионалов"...
     
     
  • 4.18, pavlinux (ok), 15:06, 07/06/2012 [^] [ответить]    [к модератору]  
  • –1 +/
    > Вот еще интересная ссылка: http://leakedin.org/
    > Проверил пару банальных паролей: iamgod, iloveyou, hitech, k.,jdm --- есть в базе.

    Пароля из одного пробела там нету, куль хацкеры, йопт. :D

     
     
  • 5.31, Аноним (-), 19:19, 07/06/2012 [^] [ответить]    [к модератору]  
  • +/
    Ага, ты еще пароль из 8 звездочек воткни :). Вот все обломаются.
     
     
  • 6.37, pavlinux (ok), 03:11, 08/06/2012 [^] [ответить]    [к модератору]  
  • +/
    > Ага, ты еще пароль из 8 звездочек воткни :). Вот все обломаются.

    [ Your password was leaked and cracked. Sorry, friend. ] :)

     
  • 2.17, pavlinux (ok), 15:04, 07/06/2012 [^] [ответить]    [к модератору]  
  • +/
    > ну и какова вероятность вскрыть пароли?

    50 на 50 - или вскроют или нет!

     
     
  • 3.24, bratsinot (?), 16:37, 07/06/2012 [^] [ответить]    [к модератору]  
  • +/
    100%. Другое дело в том, чтобы перебрать возможные варианты требуется много времени.
     
  • 2.36, inv (ok), 03:05, 08/06/2012 [^] [ответить]    [к модератору]  
  • +/
    Без соли? Считай 99.9% вскроются в ближайшее время.
    Подсказка - ознакомиться тут: http://hashcat.net/oclhashcat-plus/
     
  • 1.8, Zenitur (ok), 12:30, 07/06/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Не знал про этот сайт, спасибо за информацию. А я к BOINC-сети генерации хешей был подключен.

    Но у них нет Linux-версии ПО! Почему тогда это на Опеннете?

     
     
  • 2.9, Че (?), 13:01, 07/06/2012 [^] [ответить]    [к модератору]  
  • +/
    Boinc-клиент под Linux есть (в убунту в репах лежит).
     
     
  • 3.11, Zenitur (ok), 13:20, 07/06/2012 [^] [ответить]    [к модератору]  
  • +/
    Я отдаю свои мощности другому проекту BOINC, http://project-rainbowcrack.com/ Их сайт предлагает только закрытые программы для Windows.
     
     
  • 4.27, Buy (ok), 17:34, 07/06/2012 [^] [ответить]    [к модератору]  
  • +/
    > Их сайт предлагает только закрытые программы для Windows

    The latest version of RainbowCrack software is 1.5:

    rainbowcrack-1.5-linux64.zip

    Ubuntu 9.10 64-bit and later
    Redhat Enterprise Linux 5.5 64-bit and later
    openSUSE 11.3 64-bit and later

    И х32 версия есть.

     
     
  • 5.30, Аноним (-), 18:10, 07/06/2012 [^] [ответить]    [к модератору]  
  • +/
    И ты туда же! "Их проект" проект в новости. А не тот, в котором я участвую.
     
  • 2.10, meequz (ok), 13:09, 07/06/2012 [^] [ответить]    [к модератору]  
  • +/
    Потому что это ОпенНет, а не ЛОР.
     
     
  • 3.13, Zenitur (ok), 13:35, 07/06/2012 [^] [ответить]    [к модератору]  
  • +/
    > Потому что это ОпенНет, а не ЛОР.

    В какой части проект по ссылке является Опен? Или какой Опен проект пострадал? На ЛОР как раз и нет специализации на открытом ПО.

     
     
  • 4.15, Andrey Mitrofanov (?), 14:03, 07/06/2012 [^] [ответить]    [к модератору]  
  • +/
    > В какой части проект по ссылке является Опен?

    Они ОТКРЫВАЮТ хешированные пароли, утекшие в СЕТЬ. B)Смекаешь??

    > Или какой Опен проект пострадал?

    ОпеНЕТ: ни один пароль анонима не утечёт.

     
  • 2.32, Аноним (-), 19:21, 07/06/2012 [^] [ответить]     [к модератору]  
  • +/
    Слушай, чувак, SHA-1 можно вгрузить в такую штуку как hashkill например Перцы с... весь текст скрыт [показать]
     
  • 1.14, Аноним (-), 13:41, 07/06/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Интересный сервис, зарегистрировался.

    P.S. Черные новости тоже реклама.

     
     
  • 2.33, Аноним (-), 19:22, 07/06/2012 [^] [ответить]    [к модератору]  
  • +/
    > Интересный сервис, зарегистрировался.

    SHA1 пароля - в студию :)

     
  • 1.16, Denis (??), 14:57, 07/06/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    да, все же в 2х фазной аутентификации как у гугла что-то есть. несколько не удобно, зато более безопасно.
     
     
  • 2.19, kazh (?), 15:07, 07/06/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    Поэтому интернет банки с однофазной аутентификацией я посылаю лесом.
     
     
  • 3.23, Михаил (??), 16:20, 07/06/2012 [^] [ответить]    [к модератору]  
  • +/
    А такие есть? святсвятсвят.
     
     
  • 4.39, XoRe (ok), 03:19, 08/06/2012 [^] [ответить]    [к модератору]  
  • +/
    > А такие есть? святсвятсвят.

    Иногда по логину/паролю дают доступ на посмотреть.
    А для любого действия (заплатить, перевести, и т.д.) уже нужно вводить одноразовый пароль.

     
  • 1.20, mma (?), 15:15, 07/06/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ну подберут хеш и что дальше, многие просто не заморачиваются с паролями на неважных сервисах.

    Это только кулхацкеры тешатся что мы подобрали пароль по хэшу используя готовый софт.

     
     
  • 2.21, Аноним (-), 15:25, 07/06/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    А у многих одинаковые пароли на всех сервисах. Скажем так у МНОГИХ.
     
     
  • 3.22, Аноним (-), 15:26, 07/06/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    95%


     
  • 1.25, Аноним (-), 16:56, 07/06/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Что за соль?
     
     
  • 2.26, filosofem (ok), 17:24, 07/06/2012 [^] [ответить]    [к модератору]  
  • +2 +/
    NaCl
     
  • 2.28, Аноним (-), 18:07, 07/06/2012 [^] [ответить]    [к модератору]  
  • +/
    https://ru.wikipedia.org/wiki/%D0%A1%D0%BE%D0%BB)
     
     
  • 3.29, Аноним (-), 18:09, 07/06/2012 [^] [ответить]    [к модератору]  
  • +/
    Чёрт. Короче, статья "Соль (криптография)".
     
  • 1.34, Аноним (-), 19:23, 07/06/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Профессионалы, вступайте в ряды профессионалов в профессиоальной социальной сети!
     
  • 1.35, Аноним (-), 23:28, 07/06/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    http://leakedin.org/ - прикольный, да. С его помощью собирут остатки не поддавшихся хешей - хозяева паролей сами их скажут.
     
     
  • 2.38, pavlinux (ok), 03:14, 08/06/2012 [^] [ответить]    [к модератору]  
  • +/
    > http://leakedin.org/ - прикольный, да. С его помощью собирут остатки не поддавшихся хешей
    > - хозяева паролей сами их скажут.

    А логин-то?  

    ... хотя, по отпечатку браузера можно заловить.

     
  • 2.40, XoRe (ok), 03:21, 08/06/2012 [^] [ответить]    [к модератору]  
  • +/
    > http://leakedin.org/ - прикольный, да. С его помощью собирут остатки не поддавшихся хешей
    > - хозяева паролей сами их скажут.

    Слоган для сайта: "Мы сломали ещё не все пароли. Торопитесь проверить свой пароль!"

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor