319 mln haseł ujawnionych siłowym atakiem na bazę skrótów SHA-1

Dwa lata temu do Sieci trafiło 11 mln loginów i haseł używanychprzez użytkowników serwisu randkowego Ashley Madison. Co prawdaserwis przechowywał nie hasła, lecz skróty kryptograficzne (hasze)– jednak hakerzy z grupy CynoSure Prime zdołali odwrócić hasze iuzyskać hasła w formie jawnego tekstu. Teraz hakerski kolektywprzedstawia daleko większe osiągnięcie: 319 milionów haseł,pozyskanych ze skrótów dostarczonych przez badacza Troya Hunta. Ichujawnienie posłużyć ma bezpieczeństwu serwisów internetowych –tak by powstrzymać praktykę wielokrotnego wykorzystywania tychsamych haseł.

Marność haseł używanych przez zwykłych użytkownikówprzyprawia o ból głowy – kolejne wycieki pokazują, że nic sięw tej kwestii nie zmienia. Dlatego też na początku sierpniaaustralijski badacz Troy Hunt (notabene regionalny dyrektorMicrosoftu), udostępniłusługę, która pozwalała sprawdzić, czy nasze hasło znajdujesię na liście haseł pozyskanych z kilku dużych wycieków.Oczywiście weźcie pod uwagę słowa samego Hunta, który podkreśla,by nie sprawdzać w tej usłudze żadnych haseł, z których obecniekorzystacie.

Badacz zdecydował się też udostępnić publicznie pozyskanełącznie te 319 mln ciągów, które nie powinny być już w żadnymwypadku używane jako hasła. Umieścił w Sieci ponad 5-gigabajtowearchiwum 7-zip, zawierające, jak ogłosił, nie hasła w jawnejpostaci, lecz ich skróty SHA-1, wygenerowane przez SQL Server zapomocą funkcji HASHBYTES. W ten sposób chciał zarówno ochronićprywatność wielu internautów (wiele haseł zawiera osobiste dane),jak i utrudnić wykorzystanie tego zbioru do siłowych ataków.

Czy jednak takie zabezpieczenie jest skuteczne? Stworzona w 1995roku funkcja haszująca właściwie nie powinna być już nigdy inigdzie używana, szczególnie po tym, gdy udało się zaprezentowaćdla niej pełnąkolizję (wygenerowanie dwóch różnych plików o tym samymskrócie). Samo odwrócenie – znalezienie dla skrótu (ciągu ostałej długości) hasła, z którego został on wygenerowany jestogromnie kosztowne obliczeniowo, jednak siłowy atak na kolekcjęskrótów może już przynieść rezultaty. Nawet jeśli bowiemdojdzie do kolizji i uzyskany dla skrótu ciąg nie jest tym„oryginalnym” hasłem, nie ma to znaczenia – systemuwierzytelniania porównuje przecież skróty hasła, nie same hasła.

Wyzwanie podjął hakerski kolektyw CynoSurePrime. Założono, że w tak dużym zbiorze danych nie wszystkieudostępnione skróty mogą pochodzić ze SHA1 – i faktycznie, wniektórych wypadkach jawny tekst sam był skrótem, pojawiły sięskróty z kryptograficzną solą i wiele innych zestawień. Niemniejjednak zdecydowana większość okazała się pochodzić ze SHA-1.

Na maszynie z Core i7-6700K, 64 GB RAM i czterema kartamigraficznymi GeForce GTX 1080 uruchomiono łamasze haszy MDXfind iHashcat – jak piszą członkowie CynoSurePrime, bardzo dobrzeuzupełniają one możliwości. MXDfind jest bardzo dobry w sytuacjigdy lista haszy jest za duża, by zmieścić się w pamięci kartygraficznej, gdy równolegle trzeba sprawdzić wiele algorytmów i gdypodejrzewa się występowanie bardzo długich haseł. Z kolei Hashcatsprawdza się przy obliczeniach równoległych, przy dużych zbiorachreguł i dużych przestrzeniach kluczy.

Tandem tych narzędzi przyniósł fantastyczne wyniki. 99,9% haszySHA-1 z całego zbioru udało się odwrócić, niezłamane pozostałojedynie 116 z nich. W efekcie uzyskano zbiór jawnego tekstu,ujawniający wiele ciekawych rzeczy o stosowanych przez ludzihasłach, jak i inne, nawet niezamierzone dane. Między innymiznaleziono w ten sposób ponad 2,5 mln adresów e-mail oraz 230 tys.par e-mail:hasło.

Po przenalizowaniu haseł uzyskanych z 319 mln odwróconych haszymożna powiedzieć, że jeśli chodzi o ich siłę, to jestsłabo. 96,67% haseł ma 16 znaków lub mniej, najpopularniejszesą hasła 8-znakowe, stanowiące 32,2% zbioru. 47,51% hasełpochodzi z przestrzeni cyfr i małych liter, 24,75% to same małelitery, 8,15% to same cyfry. Nic dziwnego, że złamanie zbioruposzło tak sprawnie.

Zapoznany z wynikami kolektywu Hunt przyznał, że dostarczoneprzez niego dane zawierały trochę śmieci – wynik błędów wparsowaniu, popełnionych przez tych, którzy zestawiali oryginalnelisty haseł. Zapewnił, że hasze zawierające prywatne dane zniknąz udostępnionego zestawu. Sam zestaw pozostaje jedną znajcenniejszych kompilacji danych, które można by było wykorzystaćprzy zwalczaniu stosowania słabych haseł w usługach internetowych.Jak to dobrze zrobić z perspektywy usability?

Australijski badacz proponuje, by zamiast stresować użytkownikówkomunikatami o wycieku danego hasła i blokować im rejestrację,raczej jedynie powiadamiać ich, że hasło wyciekło i że zalecanajest później jego zmiana. Zainteresowani całością tych rozważańpowinni zapoznać się z wpisemHunta na jego blogu.