Najpopularniejsze hasło stosowane przez użytkowników Adobe to "123456"

Najpopularniejsze hasło stosowane przez użytkowników Adobe to "123456"

05.11.2013 13:21

Miesiąc temu Adobe przyznałosię do jednej z najgorszych wpadek w historii firmy – wpołowie sierpnia tego roku anonimowi sprawcy, włamując się dowewnętrznej sieci firmy, wykradli kody źródłowe oprogramowania,jak również wrażliwe dane niemal 3 mln klientów, włącznie z ichnumerami kart kredytowych i hasłami. Niestety, wskutek błędówpopełnionych przez pracowników Adobe, sprawa będzie miałaznacznie poważniejsze konsekwencje. Ponad 130 milionów hasełwykorzystywanych przez wiele lat przez użytkowników produktówAdobe wzmocnić ma teraz narzędzia do siłowego crackowaniazabezpieczeń.Eksperci od bezpieczeństwa IT, prowadząc niezależne od Adobeśledztwo dotyczące włamania, ustalili, że inżynierowie tej firmycałkowicie zignorowali dobre praktyki dotyczące haseł do serwisówinternetowych. Zamiast przechowywać jedynie skróty haseł,wygenerowane nieodwracalną funkcją kryptograficzną (dla funkcjitakich nawet w teorii nie istnieją metody ich odwrócenia, co zmuszanapastników do siłowego zgadywania haseł), zabezpieczyli bazęhaseł w swojej sieci za pomocą zwykłego symetrycznego szyfrowania,wykorzystując do tego szyfr 3DES.[img=123456]Na pozór nie wygląda tak źle – w najlepszym możliwym razieliczba możliwych kluczy dla 3DES wynosi 2168 (trzyniezależne klucze 56-bitowe DES), ale znane są ataki typumeet-in-the-middle, pozwalające zmniejszyć tę przestrzeń do 2112.Co gorsze, jak informuje znany ekspert od haseł Steve Thomas,szyfrowanie odbyło się w trybie ECB (electronic codebook), w którymto wiadomość jest dzielona na bloki, a każdy z bloków jestszyfrowany oddzielnie. W ten sposób identyczne bloki jawnego tekstuprzekształcane są w identyczne bloki szyfrogramu, co raczej niesłuży bezpieczeństwu. Korzystając z ataków typu chosen-plaintexti known-plaintext możliwe jest dalsze zredukowanie przestrzenikluczy do 256. Co gorsze, w niektórych wypadkach zszyfrogramów powstałych w trybie ECB możliwe jest ustaleniepewnych informacji na temat haseł, np. ostatnich znaków, czy ichdługości.Dostępny w Sieci 9,3-gigabajtowy plik z hasłami klientówAdobe'a może więc niebawem zostać siłowo złamany, przy pomocydostępnych dziś superkomputerów, dając napastnikom w jednymmomencie dostęp do całej bazy 130 mln haseł. Jak twierdzi JeremiGosney ze Stricture Consulting Group, spośród tych wszystkichhaseł, 56 milionów wygląda na unikatowe. Jeśli zostaną oneujawnione, będzie to największa katastrofa tego rodzaju. Do tejpory bowiem w największym pojedynczym wycieku haseł z serwisuRockYou w 2009 roku wydobyto 32 mln haseł, z czego 14 mln byłounikatowych. Zdobyte hasła pozwolą znacząco zwiększyćskuteczność crackerskich ataków.Prawdopodobieństwo udanego złamania rośnie też ze względu nato, że zainteresowani najpewniej znają wiele haseł znajdującychsię w przechwyconej bazie – sami zapewne je bowiem w niejumieścili. Łamiąc siłowo szyfr 3DES będą mogli szybko ustalić,czy trafili na właściwy klucz, gdyż przekształci on zaszyfrowanehasła w znaną im jawną formę.Na razie whitehatom udało się opracować listę100 najpopularniejszych haseł, wykorzystywanych przezużytkowników Adobe. Triumfuje kombinacja „123456”, którąwykorzystano przy 1,9 mln kont, a w ślad za nią idzie „123456789”,wykorzystane przy niemal 450 tys. kont. Inne popularne hasła to„password”, „adobe123”, „qwerty”, „photoshop”,„iloveyou”, „letmein”, czy nawet paranoiczne „trustno1”miłośników słynnego serialu o parze agentów FBI.Adobe przyznało się do tego wszystkiego, jednocześniepodkreślając, że od ponad roku przestrzega dobrych praktyk,wykorzystując solone skróty SHA-256 do przechowywania haseł.Napastnicy jednak dobrali się do starego systemu, traktowanego jakozapasowy. Firma planowała go wycofać – niestety nie zdążyła naczas.Jeśli kiedykolwiek byliście użytkownikami oprogramowania czyusług Adobe, wykorzystując przy tym jakieś swoje hasło, zalecamyby natychmiast je zmienić we wszystkich innych serwisach, a wprzyszłości unikać wielokrotnego stosowania tych samych haseł wróżnych usługach.

Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (11)