#CyberMagazyn: Hasła Polaków. Analiza hashy z wycieku ze strony dla modelek

8 lipca jako pierwsi w Polsce poinformowaliśmy o dużym wycieku danych z polskiej strony dla modelek.

W pliku znajdowały się m.in. adresy e-mail, wymiary biustów i funkcje skrótu hasła. Niestety okazało się, że był to algorytm SHA-1, który za rok będzie obchodził swoje trzydzieste urodziny. Przy wykorzystaniu karty graficznej z 2023 roku udało nam się złamać ponad 30 tys. hashy. Siedemnastoletniemu procesorowi udało się złamać ponad 10 tys. hashy.

Stary, ale jary sprzęt i brute-force

Łamanie hashy rozpoczęliśmy od najstarszego komputera w moim pokoju. Procesor to Intel Core 2 Duo E4400 (2.00 GHz), którego premiera miała miejsce w kwietniu 2007 roku. Karta graficzna i pamięć RAM została znaleziona pod altanką śmietnikową.

W tym przypadku hashe łamaliśmy na procesorze. Wykorzystaliśmy do tego hashcata - otwartoźródłowe oprogramowanie do odzyskiwania haseł. Używając polecenia hashcat –a3 –m100 [nazwa pliku] –O rozpoczęliśmy łamanie 176429 hashy, stosując brute-force i maski.

Udało nam się odzyskać 2751 sześcioznakowych haseł. Siedemnastoletniemu procesorowi zajęło to nieco ponad pięć minut.

Siedmioznakowe hasła były o wiele bardziej wymagające dla hashcata. Przy zastosowaniu tej samej maski łamanie hashy zajęło dwie godziny i czterdzieści sześć minut. Podczas tej próby udało się odzyskać 2749 haseł.

Próba ośmioznakowego ataku brute-force z wykorzystaniem tej samej maski jest bardzo nieefektywna, ponieważ zajmowałaby ponad cztery dni. Przez półtorej godziny hashcatowi udało złamać się 1024 hashe. Oznacza to, że w niecałe cztery i pół godziny udało się nam złamać 6524 hashe metodą brute-force na procesorze z 2007 roku.

Metoda słownikowa

Do łamania hashy zazwyczaj wykorzystuje się metodę słownikową. Polega ona na wykorzystaniu listy słów (zazwyczaj haseł). Podczas tej próby połączyliśmy dwa słowniki – dobrze znane rockyou.txt i okrojoną wersję jednego ze słowników polskich haseł z 2013 roku. Łącznie słowniki zawierały 82 miliony fraz. Dzięki temu podejściu udało się złamać łącznie 10859 hashy. Wśród odzyskanych haseł znalazły się np. dwudziestoznakowe „qwertyuiop1234567890” czy siedemnastoznakowe „skomplikowane123”.

Analiza złamanych hashy pokazuje jak wiele Polek i Polaków korzystało z prostych haseł. Podczas analizy nie uwzględniono 5-znakowych haseł i krótszych, ponieważ było ich jedynie 290.

Danych nie można traktować jako wykres złożoności haseł Polaków, lecz jako wykaz prostoty złamanych haseł. Bardziej rozbudowaną analizę z wykorzystaniem odpowiedniego sprzętu przeprowadził Kacper Ufel (Cappybara).

Analiza z RTX 4070

Kacper łamał hashe wykorzystując do tego kartę graficzną GeForce RTX 4070, która miała premierę w kwietniu 2023 roku. Udało mu się złamać 31621 hashy. W pliku powtarzało się 3041 hashy, z czego złamaliśmy 2856 z nich – oznacza to, że 93.9 proc. powtarzających się haseł zostało odzyskanych. Ten przykład dobitnie pokazuje, że unikalne hasła są konieczne dla zwiększania poziomu naszego bezpieczeństwa.

Warto podkreślić, że zastosowanie szesnaście lat młodszego sprzętu znacząco wpłynęło na długość odzyskiwanych haseł, co nie powinno być dla nikogo zaskoczeniem. Ponad 60 proc. (18989 z 31621) złamanych fraz było dłuższe niż osiem znaków. W przypadku procesora pamiętającego początki startów Roberta Kubicy w BMW Sauber było to nieco ponad 25 proc. (2677 z 10585).

Najpopularniejsze i najdłuższe hasła oraz maile

Dzięki analizie Kacpra możemy zobaczyć najpopularniejsze hasła z wycieku. Niektóre z nich należały do fałszywych kont, dlatego nie reprezentują w stu procentach skomplikowania haseł Polaków.

Najpopularniejsze hasła w pliku:

1. Zaq12wsx12_ (127 razy)
2. milena (71 razy)
3. 123456 (52 razy)
4. (hash nie został odgadnięty) (45 razy)
5. zaq12wsx (44 razy)
6. kochamcie (41 razy)
7. Magical123 (35 razy)
8. DIANA19 (33 razy)
9. 1111Dupkablada (30 razy)
10. qwerty (29 razy)
11. 666gitara666 (27 razy)
12. megamodels (25 razy)

Najdłuższe złamane hasła:

1. Sebastianwlodzimierz2890: 24 znaki
2. 1q2w3eqawsed1q2w3eqawsed: 24 znaki
3. kkkkkkkkkkkkkkkkkkkkkk4: 23 znaki
4. (wulgaryzmy i nieobyczajne słowa): 22 znaki
5. perasperaadastra139601: 22 znaki
6. oszukacprzeznaczenie12: 22 znaki
7. (imię, nazwisko, rok): 22 znaki
8. mamnaimiealeksander123: 22 znaki
9. (imię, nazwisko, rok): 22 znaki
10. (imię, nazwisko, rok): 22 znaki
11. kodkoddeviancerulezf79: 22 znaki
12. (imię, nazwisko, rok): 22 znaki
13. ddeoksyrybonukleinowy1: 22 znaki

Wśród najpopularniejszych dostawców poczty nie ma zaskoczenia, ponieważ są nimi: gmail.com, wp.pl i o2.pl.

Wybrane hasła i dobre praktyki

Pragniemy wyróżnić niektóre hasła, takie jak: mojetajnehaslo4321, prostehaslo12345, Itakniezgadniesz, Niezgadniesz312, Trudnehaslo1301, nielubieszynki321, kochammojamame12345 czyniewiemjakiehaslo1.

Wyciek z megamodels(.)pl pokazuje, że skomplikowane hasła to podstawa naszego bezpieczeństwa. Najlepiej jest korzystać z menadżerów haseł, o czym mówił Jakub Domaradzki w wywiadzie dla naszego portalu.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]