Odgadywanie zaszyfrowanych haseł na podstawie zbiorów podpowiedzi

dodał 2 listopada 2013 o 21:36 w kategorii Krypto, Włamania  z tagami:
Odgadywanie zaszyfrowanych haseł na podstawie zbiorów podpowiedzi

Hasła 130 milionów kont, które wyciekły z serwerów Adobe, są zaszyfrowane nieznanym nam kluczem. Mimo tego w wielu przypadkach możemy jednak je poznać dzięki podpowiedziom ustawionym przez użytkowników serwisu.

Wśród 130 milionów haseł tylko 56 milionów to hasła unikatowe. Możemy to stwierdzić, ponieważ Adobe korzystało z szyfrowania 3DES w trybie ECB ze stałym kluczem szyfrującym, dzięki czemu jeśli dwóch użytkowników ustawiło takie samo hasło, to w formie zaszyfrowanej będzie ono również wyglądało identycznie. Nie stanowi to dużego ułatwienia w przypadku próby ataku na hasła, ale Adobe w bazie przechowywało również podpowiedzi do haseł, ustawiane przez część użytkowników. Dla popularnych haseł analiza podpowiedzi pozwala na ustalenie formy jawnej hasła z bardzo dużym prawdopodobieństwem. Zresztą spróbujcie sami.

Przeanalizowaliśmy najpopularniejsze hasła dla kont poczty elektronicznej, znajdujących się w domenie .pl. Oto 10 najpopularniejszych haseł w formie zaszyfrowanej:

Poniżej przedstawiamy wybrane podpowiedzi dla kolejnych pozycji – możecie sami spróbować swoich sił w odgadywaniu haseł (nie będzie to raczej trudne zadanie).

Jak więc widzicie, nawet „zaszyfrowanie” podpowiedzi do popularnego hasła nie pomoże, jeśli nie zrobią tego inni. Podobną analizę dla 100 globalnie najpopularniejszych haseł można znaleźć tutaj.

Na deser ciekawostka: wygląda na to, że wszystkie 8-znakowe hasła w formie zaszyfrowanej kończą się ciągiem „ioxG6CatHBw==”. Czy oznacza to, że Adobe do szyfrowania użyło w każdym z 3 cykli 3DES tego samego klucza? Czekamy na wypowiedzi ekspertów ds. kryptografii.

Aktualizacja: Marek w komentarzu rozwiał wątpliwości – obecność tego samego ciągu dla każdego 8-znakowego (i 16, 24,32… znakowego) hasła nie pozwala określić, jaka kombinacja kluczy została użyta do szyfrowania.