Fout in onkraakbare database legt wachtwoorden bloot

Ashley Madison leert: een beveiligingsprotocol is maar zo goed als zijn implementatie.

De gelekte gebruikersdatabase van datingsite Ashley Madison bevatte wachtwoorden die zijn gehasht met bcrypt. Dat is momenteel onkraakbaar, maar door een foutje zijn de wachtwoorden alsnog te achterhalen.


De inloggegevens waren beschermd met bcrypt waar elk wachtwoord door een uitgebreide hashfunctie is gehaald. Dit Blowfish-algoritme bevat onder meer een vertragingsfeature om brute force-aanvallen te frustreren. Het zou honderden jaren kosten om deze hashes uit te rekenen om de wachtwoorden te bemachtigen.




Kraakbare MD5-hashes

Waarschijnlijk om het inloggen te vergemakkelijken, gebruikte Ashley Madison tokens die ook zijn buitgemaakt bij de kaping van de site. Deze tokens zijn met MD5 aangemaakt en niet op basis van de bcrypt-hashes, maar vanaf de wachtwoorden in platte tekst, zo legt Ars Technica uit. In tegenstelling tot bcrypt, kun je bij MD5-hashes miljarden mogelijke wachtwoorden proberen per seconde.

De onderzoekers hebben zo 11 miljoen wachtwoorden van de 36 miljoen ontvreemde accounts weten te kraken. Interessant is dat latere MD5-tokens wel zijn aangemaakt op basis van de bcrypt-hash. Dat betekent waarschijnlijk dat iemand bij Ashley Madison het probleem met de tokens heeft ontdekt en gefixt.



Gerelateerde vragen


Hoi, ik las bij een van de vragen dat bij Windows 10: "MS mede-eigenaar van al jouw data (foto's, tekst enz.) wordt". Gaat het dan om de data, en foto's die je in hun Cloud dienst parkeert of hoe moet ik dat zien? Kan me iemand hier iets meer over vertell