r   e   k   l   a   m   a
r   e   k   l   a   m   a

Najpopularniejsze hasło stosowane przez użytkowników Adobe to "123456"

Strona główna AktualnościOPROGRAMOWANIE

Miesiąc temu Adobe przyznało się do jednej z najgorszych wpadek w historii firmy – w połowie sierpnia tego roku anonimowi sprawcy, włamując się do wewnętrznej sieci firmy, wykradli kody źródłowe oprogramowania, jak również wrażliwe dane niemal 3 mln klientów, włącznie z ich numerami kart kredytowych i hasłami. Niestety, wskutek błędów popełnionych przez pracowników Adobe, sprawa będzie miała znacznie poważniejsze konsekwencje. Ponad 130 milionów haseł wykorzystywanych przez wiele lat przez użytkowników produktów Adobe wzmocnić ma teraz narzędzia do siłowego crackowania zabezpieczeń.

Eksperci od bezpieczeństwa IT, prowadząc niezależne od Adobe śledztwo dotyczące włamania, ustalili, że inżynierowie tej firmy całkowicie zignorowali dobre praktyki dotyczące haseł do serwisów internetowych. Zamiast przechowywać jedynie skróty haseł, wygenerowane nieodwracalną funkcją kryptograficzną (dla funkcji takich nawet w teorii nie istnieją metody ich odwrócenia, co zmusza napastników do siłowego zgadywania haseł), zabezpieczyli bazę haseł w swojej sieci za pomocą zwykłego symetrycznego szyfrowania, wykorzystując do tego szyfr 3DES.

Na pozór nie wygląda tak źle – w najlepszym możliwym razie liczba możliwych kluczy dla 3DES wynosi 2168 (trzy niezależne klucze 56-bitowe DES), ale znane są ataki typu meet-in-the-middle, pozwalające zmniejszyć tę przestrzeń do 2112. Co gorsze, jak informuje znany ekspert od haseł Steve Thomas, szyfrowanie odbyło się w trybie ECB (electronic codebook), w którym to wiadomość jest dzielona na bloki, a każdy z bloków jest szyfrowany oddzielnie. W ten sposób identyczne bloki jawnego tekstu przekształcane są w identyczne bloki szyfrogramu, co raczej nie służy bezpieczeństwu. Korzystając z ataków typu chosen-plaintext i known-plaintext możliwe jest dalsze zredukowanie przestrzeni kluczy do 256. Co gorsze, w niektórych wypadkach z szyfrogramów powstałych w trybie ECB możliwe jest ustalenie pewnych informacji na temat haseł, np. ostatnich znaków, czy ich długości.

Dostępny w Sieci 9,3-gigabajtowy plik z hasłami klientów Adobe'a może więc niebawem zostać siłowo złamany, przy pomocy dostępnych dziś superkomputerów, dając napastnikom w jednym momencie dostęp do całej bazy 130 mln haseł. Jak twierdzi Jeremi Gosney ze Stricture Consulting Group, spośród tych wszystkich haseł, 56 milionów wygląda na unikatowe. Jeśli zostaną one ujawnione, będzie to największa katastrofa tego rodzaju. Do tej pory bowiem w największym pojedynczym wycieku haseł z serwisu RockYou w 2009 roku wydobyto 32 mln haseł, z czego 14 mln było unikatowych. Zdobyte hasła pozwolą znacząco zwiększyć skuteczność crackerskich ataków.

Prawdopodobieństwo udanego złamania rośnie też ze względu na to, że zainteresowani najpewniej znają wiele haseł znajdujących się w przechwyconej bazie – sami zapewne je bowiem w niej umieścili. Łamiąc siłowo szyfr 3DES będą mogli szybko ustalić, czy trafili na właściwy klucz, gdyż przekształci on zaszyfrowane hasła w znaną im jawną formę.

Na razie whitehatom udało się opracować listę 100 najpopularniejszych haseł, wykorzystywanych przez użytkowników Adobe. Triumfuje kombinacja „123456”, którą wykorzystano przy 1,9 mln kont, a w ślad za nią idzie „123456789”, wykorzystane przy niemal 450 tys. kont. Inne popularne hasła to „password”, „adobe123”, „qwerty”, „photoshop”, „iloveyou”, „letmein”, czy nawet paranoiczne „trustno1” miłośników słynnego serialu o parze agentów FBI.

Adobe przyznało się do tego wszystkiego, jednocześnie podkreślając, że od ponad roku przestrzega dobrych praktyk, wykorzystując solone skróty SHA-256 do przechowywania haseł. Napastnicy jednak dobrali się do starego systemu, traktowanego jako zapasowy. Firma planowała go wycofać – niestety nie zdążyła na czas.

Jeśli kiedykolwiek byliście użytkownikami oprogramowania czy usług Adobe, wykorzystując przy tym jakieś swoje hasło, zalecamy by natychmiast je zmienić we wszystkich innych serwisach, a w przyszłości unikać wielokrotnego stosowania tych samych haseł w różnych usługach.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.