16:41
9/6/2012

Kilka dni temu informowaliśmy o potężnym wycieku haseł z serwisu LinkedIn. Dziś prezentujemy infografikę, która powstała na bazie złamanych haseł. Jakie słowo będące składową hasła jest najpopularniejsze wśród użytkowników LinkedIn?

LinkedIn hasła

LinkedIn hasła

Infografika opiera się na próbce 165 000 hashy: niestety nie wiadomo kto je łamał, ani jak, ale warto zauważyć, że w momencie publikacji naszego artykułu, użytkownikcy rosyjskiego forum złamali już ponad 300 000 hashy, a w opublikowanym przez włamywaczy pliku znajdują się tylko unikalne hashe — stąd wszystkei statystyki mogą jedynie dotyczyć popularności słów składających się na hasła

Pomimo to, iż zdajemy sobie sprawę, że w/w grafika jest materiałem PR-owym Rapid7, uznaliśmy że i tak warto ją umieścić — jakiś pogląd na dobór haseł przez użytkowników LinkedIn ona mimo wszystko daje, aczkolwiek 165 000 w stosunku do 6.5 miliona to jedynie 2% wyciekniętych hashy… Gdyby ktoś miał ciekawsze, obszerniejsze statystyki tej bazy, to zachęcamy do podesłania wyników.

Powyższą, dość niechlujnie przygotowaną statystykę, warto zestawić z najpopularniejszymi polskimi hasłami.

Na pierwszym marginesie przypominamy, że osoby, które wykradły bazę LinkedIn najprawdopodobniej są również odpowiedzialne za kradzież bazy serwisu LastFM.

Na drugim marginesie informujemy, że zarówno hashcat jak i John the ripper, czyli programy do łamania hashy, po wycieku bazy z LinkedIn wypuściły patche, które są w stanie poradzić sobie z ok. 3,5 mln hashy, które w wyciekniętej bazie zaczynają się od “00000” (tzw. masked hash).

Nie ujawniaj swoich haseł online

Wkrótce po wycieku haseł powstało kilka serwisów na których można było wpisać swoje hasło do LinkedIn w celu sprawdzenia, czy znajduje się ono na opublikowanej przez włamywaczy liście. Przestrzegamy przed ujawnianiem swoich haseł komukolwiek. Jeśli wasze hasło nie wyciekło, wpisując je na przypadkowej stronie sprawiacie, że właśnie wycieka. Pamiętajcie — hasła są jak majtki!

Hasła są jak majtki. Zmieniaj je często, nie zostawiaj na widoku i nie pożyczaj obcym.

Zdecydowanie lepszym podejściem w tego typu przypadkach jest założenie, że wasze hasło z LinkedIn zostało wykradzione i złamane …i jak najszybsza jego zmiana na inne.

Aktualizacja 18:10
Stefan w komentarzach podrzucił dokładniejszą analizę haseł LinkedIn, opierającą się na 1,3mln złamanych hashy.

Top 10 słów bazowych:
link = 1808 (0.13%)
alex = 1215 (0.09%)
mike = 1146 (0.08%)
june = 1065 (0.08%)
july = 891 (0.07%)
john = 882 (0.07%)
chris = 766 (0.06%)
love = 749 (0.06%)
april = 725 (0.05%)
mark = 669 (0.05%)

32% haseł było 8 znakowych (potem 20% 6 znakowych). A 1.3 mln hasy złamano na zwykłym laptopie w ciągu …godziny.

Jak widać, jest wyniki znacząco odbiegają od infografiki Rapid7.

Przeczytaj także:



29 komentarzy

Dodaj komentarz
  1. A możecie sprawdzić czy wyciekło hasło “linkedmartyna”?

    • Nigdzie w internecie nie można znaleźć hasła “linkedmartyna”… oh, wait… ;)

    • haha, fail czy troll? :D

    • Możesz sobie sprawdzić, na LeakedIn.org. I nie, nie wyciekło. Tzn przynajmniej nie w tym wycieku. Poza tym do użytkowników, których hashe wyciekły, wysłali emaila. Więc jeśli nie dostałeś/łaś emaila, to nie było go wśród tych 6,5 mln.

    • @Krzysiek @Piotr, nawet jeśli to jej/jego hasło to i tak bez znajomości loginu/e-maila (nie pamiętam czy Linked umożliwia logowanie po adresie e-mail) nic mu/jej nie zrobimy ;).

    • @Darek ale przy napisaniu komentarza trzeba podać adres e-mail :>

    • Jeśli nie znasz nazwy usera, to i tak znajomość hasła nic nie da.

    • @Stefan
      Masz zaufanie do tej strony, że ją podajesz? Wpisałbyś tam swoje hasło? Mój hash wyciekł (jeden z zamaskowanych), ale od LinkedIn jeszcze nic do mnie do doszło.

  2. “jedynie 2% wyciekniętych hashy”
    pisze się “wyciekłych”, proszę skorygować i usunąć mój komentarz :)

  3. Po pierwsze, hashe, który wyciekły, były unikatowe – więc jak mozna liczyć popularnośc haseł z unikatowych hashy? To już nie tylko statystyka woła “STOP” ale nawet i zdrowy rozsądek.
    Nie można powiedzieć, że to są statystyki haseł – czyli co to jest? To są ciągi, występujące w unikatowych hasłach. Przydatność zerowa, statystycznie bez znaczenia.

    Po drugie, nie zuważyli, że 3,5 mln z tych 6,5 jest już złamanych i łamali tylko te, które nie pękły do tej pory? Przecież wszystkie hashe zaczynające się od 00000 były już wcześniej złamane. Więc z próbki 6,5 mln odrzucili na początek 3,5 mln łatwych haseł, a obliczenia oparli na tym, co udało im się złamać z pozostałych.

    Dziwne, że takie bezsensowne dane zdecydowali się opublikować.

    • Masz rację, hashe były unikalne, a te statystyki prezentują “składowe” haseł w rozbiciu na najpopularniejsze słowa występujące w hasłach. Nie dziwi więc “link” czy “love” (wiele kombinacji). Jakąś przydatność w tym jednak widzę — wskazówka odnośnie tego jak budować słowniki. Wrzucasz składowe z infografiki (i innych analiz), permutujesz, masz słownik “fraz” a nie tylko słów. Warto byłob zrobić jakieś porównanie – jaki wynik łamania takim słownikiem w stosunku do tradycyjnych ataków słownikowych.

    • Ok, frazy nie sa całkowicie nieprzydatne. Mając jednak wybór – czy znać frazy, czy hasła, wybiorę hasła, z których sobie potem wyodrębnię frazy jeśli będę tego potrzebował. Stąd skrót myslowy, że frazy są – jako podzbiór haseł – nieprzydatne.

  4. Tu są wyniki analizy dla 1,35mln haseł, dużo bardziej wiarygodne niż to co wypłodził Rapid7.
    http://pastebin.com/5pjjgbMt

  5. Jak patrzę na te statystyki nie mogę się nadziwić jak ludzie są głupi.

  6. Mam dość istotne pytanie, czy hasła były posolone? Jeśli by było np. 3-krotne solenie (statyczna sól + unikalne dla usera + coś jeszcze innego np. rotacje znaków) atak słownikowy raczej nie przyniósłby pozytywnych rezultatów. Czy tak wielkie serwisy jak linked.in nie są w stanie zabezpieczyć się w taki sposób? Czy jednak i takie solenie da się obejść (załóżmy nie znając wszystkich składowych)?

  7. Dlaczego ludzie stosują 1234..(min. długość hasła)?
    Niektórzy zapewne żeby łatwiej zapamiętać, jak wiadomo to z bezpieczeństwem mało ma wspólnego.
    Ale często rejestracja jest obowiązkowa do tego, by np. żeby zobaczyć sobie obrazek i do niczego innego. Tedy rejestruje się taki dajmy Cthulhu6572, adres zamieszkania Rlyeh, hasło 12345678, adres mailowy na pocztę dziesięciominutową, bo loguje się raz i do niczego więcej mu niepotrzebne.
    Niestety nie widziałem wyników analizy danych umożliwiającej sprawdzenie jak się mają tacy “wędrowcy” do tych, co po prostu o bezpieczeństwo nie dbają.

    • Bardzo słuszna uwaga. Też mnie w pewnym sensie bawią wszystkie dywagacje na temat tego jacy to użytkownicy są głupi, że ciągle dają 123456, że nigdy się nie nauczą itd. A tak na prawdę żeby podejść do analizy poważnie trzeba by z miejsca odrzucić wszystkie profile, które logowały się 1-2 razy, wszystkie które nie mają podanych prawdziwych danych osobowych (co nie zawsze byłoby łatwe do zweryfikowania) itp. Wiele osób ma więcej “fake’owych” kont niż prawdziwych, więc nie można tego bagatelizować. W zasadzie więc jeżeli nie wiemy prawie nic o użytkownikach to jedyne rozsądne analizy złamanych haseł, to analizy haseł firmowych lub banków, gdzie wiadomo, że większość ludzi faktycznie jest za coś odpowiedzialnych lub mają coś do stracenia.

  8. Ależ to tylko linkedin, przecież porzundny Polak pracuje tylko z kosą na dopłaty z łuni.

  9. Z Last.fm też wyciekły hasła ostatnio… Chyba wczoraj do mnie trafił email, który w treści miał: “We are currently investigating the leak of some Last.fm user passwords. This follows recent password leaks on other sites, as well as information posted online. As a precautionary measure, we’re asking all our users to change their passwords immediately.”

  10. Zawsze mnie zastanawia, jaki to problem “postretchować” hashe – przecież wystarczy zrobić hash(hash(md5,$haslo))sha1, $haslo) i koledzy mają zadanie utrudnione. A co do Likidina – jeśli wyciekły hasze, to wyciekła pewnie cała tabela. Jak podasz hasło, to wygenerują hash — reszty można się domyślić

  11. Ciekawe by był statystyki jakby porównać tylko konta najbardziej aktywne.
    Średnio aktywne.
    Nisko aktywne.

    I popatrzeć jakie grupy. Programiści, szefowanie, specjalista branż. itd Wiek
    Jakie hasła używają. Duże to będzie ułatwienie dla socjotechników, a także analiz. :)

  12. wg linkedin.org hash mojego hasła jest na liscie wycieknietych i złamanych. Dodam ze nie moglem zalogowac sie na konto w linkedin.com aczkolwiek nie dostałem informacji na maila o zmianie hasła. Reset hasła przeszedł bez problemu.

    Na linkedin nie logowałem sie z pół roku, aczkolwiek nie mam tez iphonea czy androida gdzie moglbym korzystac z aplikacji mobilnych. Moje haslo nie zostalo takze podejrzane w locie. Jestem pewien ze wyciek hasel mial miejsce na serwerze linkedin.

    Jakby ktos pytal, zanim sprawdzilem swoj hash zmienilem haslo aczkolwiek na listach hashy ktore znalazlem nie widzialem swojego.

  13. […] z naszych czytelników, świadomi tego jak wiele ostatnio było wycieków haseł, zmienili sposób zarządzania swoimi hasłami. Aby lepiej chronić […]

  14. […] Osoba o polsko brzmiącym nazwisku chce pozwać LinkedIn za ten wyciek haseł. […]

  15. […] jak w przypadku wycieku hashy z LinkedIn i tym razem wraz z hashami nie podano loginów, ani innych danych identyfikujących konta. Warto […]

  16. […] tym tygodniu nastąpiło tyle wycieków haseł (LinkedIn, LastFM, Formspring), że chyba każdy już powinien zakładać, iż ustawiane przez niego hasło […]

  17. […] resetuje hasła. Dlaczego? Bo ludzie mają zwyczaj używania jednego hasła — a więc jeśli wycieknie ich hasło z LinkedIn, a to samo mają do Dropboksa, to wiadomo co może się stać — stąd wymuszony reset haseł, […]

  18. […] Jeśli korzystałeś w innymi miejscu w sieci z tego samego hasła co w Novem — zmień je natychmiast. Hashe haseł da się ”złamać” i zapewne kwestią kilku godzin będzie odkodowanie haseł większości użytkowników Novem (por. wyciek hashy z LinkedIn i statystyka złamanych haseł). […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: