Cyberbezpieczeństwo
#CyberMagazyn: Hasła Polaków. Analiza hashy z wycieku ze strony dla modelek
Wycieki danych mogą powodować różne skutki dla osób, których dane nagle stają się dostępne w sieci. W przypadku incydentu z megamodels(.)pl wiele osób wykorzystujących te same dane logowania np. na Facebooku lub do skrzynki mailowej są narażone na przejęcie kont. Wraz z pasjonatem red teamu przeanalizowaliśmy funkcje skrótu haseł. Wyniki dają do myślenia.
8 lipca jako pierwsi w Polsce poinformowaliśmy o dużym wycieku danych z polskiej strony dla modelek.
W pliku znajdowały się m.in. adresy e-mail, wymiary biustów i funkcje skrótu hasła. Niestety okazało się, że był to algorytm SHA-1, który za rok będzie obchodził swoje trzydzieste urodziny. Przy wykorzystaniu karty graficznej z 2023 roku udało nam się złamać ponad 30 tys. hashy. Siedemnastoletniemu procesorowi udało się złamać ponad 10 tys. hashy.
‼️Uwaga. Nasz zespół stwierdził wyciek danych osobowych ok. 40 tysięcy osób zarejestrowanych na portalu https://t.co/gArsaLuOwF.
— CERT Polska (@CERT_Polska) July 11, 2024
Na https://t.co/eHW0e2LpgP możecie sprawdzić czy wyciekły Wasze dane. Jeżeli używaliście tego samego hasła w innych serwisach, należy je zmienić.
Czytaj też
Stary, ale jary sprzęt i brute-force
Łamanie hashy rozpoczęliśmy od najstarszego komputera w moim pokoju. Procesor to Intel Core 2 Duo E4400 (2.00 GHz), którego premiera miała miejsce w kwietniu 2007 roku. Karta graficzna i pamięć RAM została znaleziona pod altanką śmietnikową.
W tym przypadku hashe łamaliśmy na procesorze. Wykorzystaliśmy do tego hashcata - otwartoźródłowe oprogramowanie do odzyskiwania haseł. Używając polecenia hashcat –a3 –m100 [nazwa pliku] –O rozpoczęliśmy łamanie 176429 hashy, stosując brute-force i maski.
Udało nam się odzyskać 2751 sześcioznakowych haseł. Siedemnastoletniemu procesorowi zajęło to nieco ponad pięć minut.
Siedmioznakowe hasła były o wiele bardziej wymagające dla hashcata. Przy zastosowaniu tej samej maski łamanie hashy zajęło dwie godziny i czterdzieści sześć minut. Podczas tej próby udało się odzyskać 2749 haseł.
Próba ośmioznakowego ataku brute-force z wykorzystaniem tej samej maski jest bardzo nieefektywna, ponieważ zajmowałaby ponad cztery dni. Przez półtorej godziny hashcatowi udało złamać się 1024 hashe. Oznacza to, że w niecałe cztery i pół godziny udało się nam złamać 6524 hashe metodą brute-force na procesorze z 2007 roku.
Czytaj też
Metoda słownikowa
Do łamania hashy zazwyczaj wykorzystuje się metodę słownikową. Polega ona na wykorzystaniu listy słów (zazwyczaj haseł). Podczas tej próby połączyliśmy dwa słowniki – dobrze znane rockyou.txt i okrojoną wersję jednego ze słowników polskich haseł z 2013 roku. Łącznie słowniki zawierały 82 miliony fraz. Dzięki temu podejściu udało się złamać łącznie 10859 hashy. Wśród odzyskanych haseł znalazły się np. dwudziestoznakowe „qwertyuiop1234567890” czy siedemnastoznakowe „skomplikowane123”.
Analiza złamanych hashy pokazuje jak wiele Polek i Polaków korzystało z prostych haseł. Podczas analizy nie uwzględniono 5-znakowych haseł i krótszych, ponieważ było ich jedynie 290.
Danych nie można traktować jako wykres złożoności haseł Polaków, lecz jako wykaz prostoty złamanych haseł. Bardziej rozbudowaną analizę z wykorzystaniem odpowiedniego sprzętu przeprowadził Kacper Ufel (Cappybara).
Czytaj też
Analiza z RTX 4070
Kacper łamał hashe wykorzystując do tego kartę graficzną GeForce RTX 4070, która miała premierę w kwietniu 2023 roku. Udało mu się złamać 31621 hashy. W pliku powtarzało się 3041 hashy, z czego złamaliśmy 2856 z nich – oznacza to, że 93.9 proc. powtarzających się haseł zostało odzyskanych. Ten przykład dobitnie pokazuje, że unikalne hasła są konieczne dla zwiększania poziomu naszego bezpieczeństwa.
Warto podkreślić, że zastosowanie szesnaście lat młodszego sprzętu znacząco wpłynęło na długość odzyskiwanych haseł, co nie powinno być dla nikogo zaskoczeniem. Ponad 60 proc. (18989 z 31621) złamanych fraz było dłuższe niż osiem znaków. W przypadku procesora pamiętającego początki startów Roberta Kubicy w BMW Sauber było to nieco ponad 25 proc. (2677 z 10585).
Najpopularniejsze i najdłuższe hasła oraz maile
Dzięki analizie Kacpra możemy zobaczyć najpopularniejsze hasła z wycieku. Niektóre z nich należały do fałszywych kont, dlatego nie reprezentują w stu procentach skomplikowania haseł Polaków.
Najpopularniejsze hasła w pliku:
- Zaq12wsx12_ (127 razy)
- milena (71 razy)
- 123456 (52 razy)
- (hash nie został odgadnięty) (45 razy)
- zaq12wsx (44 razy)
- kochamcie (41 razy)
- Magical123 (35 razy)
- DIANA19 (33 razy)
- 1111Dupkablada (30 razy)
- qwerty (29 razy)
- 666gitara666 (27 razy)
- megamodels (25 razy)
Najdłuższe złamane hasła:
- Sebastianwlodzimierz2890: 24 znaki
- 1q2w3eqawsed1q2w3eqawsed: 24 znaki
- kkkkkkkkkkkkkkkkkkkkkk4: 23 znaki
- (wulgaryzmy i nieobyczajne słowa): 22 znaki
- perasperaadastra139601: 22 znaki
- oszukacprzeznaczenie12: 22 znaki
- (imię, nazwisko, rok): 22 znaki
- mamnaimiealeksander123: 22 znaki
- (imię, nazwisko, rok): 22 znaki
- (imię, nazwisko, rok): 22 znaki
- kodkoddeviancerulezf79: 22 znaki
- (imię, nazwisko, rok): 22 znaki
- ddeoksyrybonukleinowy1: 22 znaki
Wśród najpopularniejszych dostawców poczty nie ma zaskoczenia, ponieważ są nimi: gmail.com, wp.pl i o2.pl.
Wybrane hasła i dobre praktyki
Pragniemy wyróżnić niektóre hasła, takie jak: mojetajnehaslo4321, prostehaslo12345, Itakniezgadniesz, Niezgadniesz312, Trudnehaslo1301, nielubieszynki321, kochammojamame12345 czyniewiemjakiehaslo1.
Wyciek z megamodels(.)pl pokazuje, że skomplikowane hasła to podstawa naszego bezpieczeństwa. Najlepiej jest korzystać z menadżerów haseł, o czym mówił Jakub Domaradzki w wywiadzie dla naszego portalu.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]
Haertle: Każdego da się zhakować
Materiał sponsorowany