Reklama

Cyberbezpieczeństwo

#CyberMagazyn: Hasła Polaków. Analiza hashy z wycieku ze strony dla modelek

Wyciek zawierał ponad 180 tysięcy rekordów, w tym dane 40 tysięcy Polek i Polaków
Wyciek zawierał ponad 180 tysięcy rekordów, w tym dane 40 tysięcy Polek i Polaków
Autor. Pixabay.com

Wycieki danych mogą powodować różne skutki dla osób, których dane nagle stają się dostępne w sieci. W przypadku incydentu z megamodels(.)pl wiele osób wykorzystujących te same dane logowania np. na Facebooku lub do skrzynki mailowej są narażone na przejęcie kont. Wraz z pasjonatem red teamu przeanalizowaliśmy funkcje skrótu haseł. Wyniki dają do myślenia.

8 lipca jako pierwsi w Polsce poinformowaliśmy o dużym wycieku danych z polskiej strony dla modelek.

W pliku znajdowały się m.in. adresy e-mail, wymiary biustów i funkcje skrótu hasła. Niestety okazało się, że był to algorytm SHA-1, który za rok będzie obchodził swoje trzydzieste urodziny. Przy wykorzystaniu karty graficznej z 2023 roku udało nam się złamać ponad 30 tys. hashy. Siedemnastoletniemu procesorowi udało się złamać ponad 10 tys. hashy.

Czytaj też

Reklama

Stary, ale jary sprzęt i brute-force

Łamanie hashy rozpoczęliśmy od najstarszego komputera w moim pokoju. Procesor to Intel Core 2 Duo E4400 (2.00 GHz), którego premiera miała miejsce w kwietniu 2007 roku. Karta graficzna i pamięć RAM została znaleziona pod altanką śmietnikową.

Procesor obecnie można kupić za 10 złotych
Procesor obecnie można kupić za 10 złotych
Autor. https://hawk.pl/procesory/642-intel-core2-duo-e4400-2m-cache-200-ghz-800-mhz.html

W tym przypadku hashe łamaliśmy na procesorze. Wykorzystaliśmy do tego hashcata - otwartoźródłowe oprogramowanie do odzyskiwania haseł. Używając polecenia hashcat –a3 –m100 [nazwa pliku] –O rozpoczęliśmy łamanie 176429 hashy, stosując brute-force i maski.

Udało nam się odzyskać 2751 sześcioznakowych haseł. Siedemnastoletniemu procesorowi zajęło to nieco ponad pięć minut.

Komunikat po przeprowadzeniu ataku brute-force na sześcioznakowe hasła
Komunikat po przeprowadzeniu ataku brute-force na sześcioznakowe hasła
Autor. Oskar Klimczuk / CyberDefence24

Siedmioznakowe hasła były o wiele bardziej wymagające dla hashcata. Przy zastosowaniu tej samej maski łamanie hashy zajęło dwie godziny i czterdzieści sześć minut. Podczas tej próby udało się odzyskać 2749 haseł.

Próba ośmioznakowego ataku brute-force z wykorzystaniem tej samej maski jest bardzo nieefektywna, ponieważ zajmowałaby ponad cztery dni. Przez półtorej godziny hashcatowi udało złamać się 1024 hashe. Oznacza to, że w niecałe cztery i pół godziny udało się nam złamać 6524 hashe metodą brute-force na procesorze z 2007 roku.

Czytaj też

Reklama

Metoda słownikowa

Do łamania hashy zazwyczaj wykorzystuje się metodę słownikową. Polega ona na wykorzystaniu listy słów (zazwyczaj haseł). Podczas tej próby połączyliśmy dwa słowniki – dobrze znane rockyou.txt i okrojoną wersję jednego ze słowników polskich haseł z 2013 roku. Łącznie słowniki zawierały 82 miliony fraz. Dzięki temu podejściu udało się złamać łącznie 10859 hashy. Wśród odzyskanych haseł znalazły się np. dwudziestoznakowe „qwertyuiop1234567890” czy siedemnastoznakowe „skomplikowane123”.

Zrzut ekranu obrazujący 10 najdłuższych haseł złamanych na siedemnastoletnim procesorze
Zrzut ekranu obrazujący 10 najdłuższych haseł złamanych na siedemnastoletnim procesorze
Autor. Oskar Klimczuk / CyberDefence24

Analiza złamanych hashy pokazuje jak wiele Polek i Polaków korzystało z prostych haseł. Podczas analizy nie uwzględniono 5-znakowych haseł i krótszych, ponieważ było ich jedynie 290.

Długości haseł i częstotliwość ich występowania
Długości haseł i częstotliwość ich występowania
Autor. Oskar Klimczuk / CyberDefence24
Pionowa oś reprezentuje ilość haseł, zaś pozioma ich długość w znakach
Pionowa oś reprezentuje ilość haseł, zaś pozioma ich długość w znakach
Autor. Materiał własny opracowany z wykorzystaniem sztucznej inteligencji

Danych nie można traktować jako wykres złożoności haseł Polaków, lecz jako wykaz prostoty złamanych haseł. Bardziej rozbudowaną analizę z wykorzystaniem odpowiedniego sprzętu przeprowadził Kacper Ufel (Cappybara).

Czytaj też

Reklama

Analiza z RTX 4070

Kacper łamał hashe wykorzystując do tego kartę graficzną GeForce RTX 4070, która miała premierę w kwietniu 2023 roku. Udało mu się złamać 31621 hashy. W pliku powtarzało się 3041 hashy, z czego złamaliśmy 2856 z nich – oznacza to, że 93.9 proc. powtarzających się haseł zostało odzyskanych. Ten przykład dobitnie pokazuje, że unikalne hasła są konieczne dla zwiększania poziomu naszego bezpieczeństwa.

Warto podkreślić, że zastosowanie szesnaście lat młodszego sprzętu znacząco wpłynęło na długość odzyskiwanych haseł, co nie powinno być dla nikogo zaskoczeniem. Ponad 60 proc. (18989 z 31621) złamanych fraz było dłuższe niż osiem znaków. W przypadku procesora pamiętającego początki startów Roberta Kubicy w BMW Sauber było to nieco ponad 25 proc. (2677 z 10585).

Długości haseł i częstotliwość ich występowania
Długości haseł i częstotliwość ich występowania
Autor. Cappybara / Oskar Klimczuk
Pionowa oś reprezentuje ilość haseł, zaś pozioma ich długość w znakach
Pionowa oś reprezentuje ilość haseł, zaś pozioma ich długość w znakach
Autor. Materiał własny opracowany z wykorzystaniem sztucznej inteligencji

Najpopularniejsze i najdłuższe hasła oraz maile

Dzięki analizie Kacpra możemy zobaczyć najpopularniejsze hasła z wycieku. Niektóre z nich należały do fałszywych kont, dlatego nie reprezentują w stu procentach skomplikowania haseł Polaków.

Najpopularniejsze hasła w pliku:

  1. Zaq12wsx12_ (127 razy)
  2. milena (71 razy)
  3. 123456 (52 razy)
  4. (hash nie został odgadnięty) (45 razy)
  5. zaq12wsx (44 razy)
  6. kochamcie (41 razy)
  7. Magical123 (35 razy)
  8. DIANA19 (33 razy)
  9. 1111Dupkablada (30 razy)
  10. qwerty (29 razy)
  11. 666gitara666 (27 razy)
  12. megamodels (25 razy)

Najdłuższe złamane hasła:

  1. Sebastianwlodzimierz2890: 24 znaki
  2. 1q2w3eqawsed1q2w3eqawsed: 24 znaki
  3. kkkkkkkkkkkkkkkkkkkkkk4: 23 znaki
  4. (wulgaryzmy i nieobyczajne słowa): 22 znaki
  5. perasperaadastra139601: 22 znaki
  6. oszukacprzeznaczenie12: 22 znaki
  7. (imię, nazwisko, rok): 22 znaki
  8. mamnaimiealeksander123: 22 znaki
  9. (imię, nazwisko, rok): 22 znaki
  10. (imię, nazwisko, rok): 22 znaki
  11. kodkoddeviancerulezf79: 22 znaki
  12. (imię, nazwisko, rok): 22 znaki
  13. ddeoksyrybonukleinowy1: 22 znaki

Wśród najpopularniejszych dostawców poczty nie ma zaskoczenia, ponieważ są nimi: gmail.com, wp.pl i o2.pl.

Wybrane hasła i dobre praktyki

Pragniemy wyróżnić niektóre hasła, takie jak: mojetajnehaslo4321, prostehaslo12345, Itakniezgadniesz, Niezgadniesz312, Trudnehaslo1301, nielubieszynki321, kochammojamame12345 czyniewiemjakiehaslo1.

Wyciek z megamodels(.)pl pokazuje, że skomplikowane hasła to podstawa naszego bezpieczeństwa. Najlepiej jest korzystać z menadżerów haseł, o czym mówił Jakub Domaradzki w wywiadzie dla naszego portalu.

Czytaj też

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]

Reklama

Haertle: Każdego da się zhakować

Materiał sponsorowany

Komentarze

    Reklama