Datenklau bei eHarmony In 72 Stunden über 1 Million Passwörter entschlüsselt

Sicherheitsexperten haben die von der Onlinekontaktbörse eHarmony gekaperten Passwortdatenbanken analysiert und innerhalb von 72 Stunden fast 80 Prozent der Kennwörter ausgelesen. Sie waren in MD5-Hashes abgelegt.

Anzeige

Vor wenigen Tagen hatten Hacker von den Servern der Partnervermittlungsseite eHarmony Zugangsdaten entwendet, darunter über 1,5 Millionen gehashte Passwörter. Sicherheitsexperten bei Spiderlabs ist es gelungen, fast 80 Prozent der Passwörter innerhalb von 72 Stunden auszulesen. Wie sich herausstellte, waren sie per MD5 gehasht worden, ohne die Verwendung einer zufällig gewählten Zeichenfolge (Salt).

MD5 gilt inzwischen als unsicher und selbst der Entwickler Poul-Henning Kamp von Md5crypt, das per MD5 und Salt verschlüsselt, rät unbedingt von dessen Verwendung ab. In einem Blogpost erklärt er, dass es 1995 noch zu aufwendig war, die mit Md5crypt verschlüsselten Zeichenketten zu knacken. Inzwischen lassen sich die 128-Bit-Hashwerte mit modernen Rechnern jedoch leicht entschlüsseln. Administratoren sollten mindestens zu dem mächtigeren SHA2-Algoritmus greifen.

Entschlüsselt auf Nvidia-GPUs

Die Sicherheitsexperten bei Spiderlabs nutzen drei GPUs auf Nvidias 460GTX-Grafikkarten, um die von eHarmony erbeuteten Passwörter zu entschlüsseln. Den größten Teil der Arbeit erledigte die Anwendung oclHashcat aus der Softwaresammlung Hashcat. In einem zweiten Schritt setzten die Entwickler John the Ripper ein.

Groß- und Kleinschreibung ignoriert

Eine anschließende Analyse der verwendeten Passwörter ergab, dass eHarmony Kleinbuchstaben bei der Passwortvergabe in Versalien konvertierte und grundsätzlich nicht zwischen Groß- und Kleinbuchstaben unterschied, was die Entschlüsselung zusätzlich erleichterte.

Außerdem fiel den Sicherheitsexperten auf, dass kein Passwort mehr als drei Mal vorhanden war. Möglicherweise hätten Hacker eine bereits kompromittierte Version der Passwortliste im Internet ergattert, schreiben die Sicherheitsexperten.

Jungs- und Mädchennamen

Die meisten Passwörter waren siebenstellig gefolgt von sechs- und achtstelligen Zeichenketten. Sonderzeichen fehlten in 99,5 Prozent der Passwörter. Immerhin vergaben mehr als 50 Prozent der Nutzer ein Passwort mit der Kombination aus Buchstaben und Zahlen, 41 Prozent verwendeten nur Buchstaben. Mit 4 Prozent verwendeten die meisten Nutzer einen 2011 populären, männlichen Vornamen, 2 Prozent verwendeten einen populären, weiblichen aus dem gleichen Jahr. 3,5 Prozent der Nutzer entschieden sich für einen Hundenamen, der unter den 100 populärsten im Jahr 2011 war. Ein halbes Prozent der Nutzer wählte ein Passwort aus der Top-25-Liste der schlechtesten Kennwörter im Jahr 2011.

Erwartungsgemäß für eine Onlinekontaktbörse war die meistgenutzte Zeichenkette: "LOVE".

Anfang Januar 2012 hatte The Tech Herald nach einem Hack der Stratfor-Server die dort geklauten Passwörter entschlüsselt und analysiert.

Kommentarübersicht
Re: Sonderzeichen und Zahlen
wonz 28. Jun 2012

Kann man ja ausrechnen ;) Und normalerweise weiss der Hacker ja nicht, dass er überhaupt...

Re: Golem bitte schreibt in Zukunft nur noch über...
Nasenbaer 27. Jun 2012

Auf Fehler hinweisen ist völlig legitim. Lies dir aber nochmal die Überschrift dieses...

"fast jeder"
fratze123 27. Jun 2012

schön, dass du nur bauerntrampel kennst. :)

Re: Salz vergessen
DASPRiD 27. Jun 2012

Lieber gleich Blowfish ;)

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Senior Softwareingenieur/in für embedded Software im Bereich Hubschraubersysteme (m/w)
    ESG Elektroniksystem- und Logistik-GmbH, Donauwörth
  2. Inhouse Consultant (m/w)
    PAYBACK GmbH, München
  3. Softwareentwickler / Softwareentwicklerin
    BBF GmbH, München und Dresden
  4. ERP-Systembetreuer (m/w)
    LMC Caravan GmbH & Co. KG, Sassenberg

 

Detailsuche

Folgen Sie uns
       
Videos
X-47B startet auf einem Flugzeugträger X-47B startet auf einem Flugzeugträger
Ticker
  1. Yahoo

    Flickr mit kostenlosem 1 TByte für Fotos

  2. Sailfish-Smartphone

    Jolla stellt "The Other Half" vor

  3. Internet und Krieg

    Wenn Social Networks zum Schützengraben werden

  4. Instant Messenger

    Whatsapp in Deutschland immer beliebter

  5. Milliarden-Deal

    Yahoo kauft Blogging-Plattform Tumblr

  6. Electronic Arts

    Leitender EA-Entwickler bezeichnet Wii U als "Mist"

  7. Apple-Zulieferer

    Wieder drei Suizide bei Foxconn

  8. Cast AR

    Gefeuerte Valve-Entwickler zeigen Räumliche-Objekte-Brille

  9. Ventus

    Mit der Netzgemeinde gegen den Klimawandel

  10. Offline-Karten-App für Android

    Maps With Me Pro gratis in Amazons App-Shop

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Linux-Kernel
Linux-Kernel: P-States verringern Leistungsaufnahme auf Intel-CPUs
Linux-Kernel
P-States verringern Leistungsaufnahme auf Intel-CPUs

Statt des betagten Cpufreq-Treibers und des Ondemand-Governors sollen im Linux-Kernel P-States für eine reduzierte Leistungsaufnahme der Sandy-Bridge- und Ivy-Bridge-CPUs von Intel sorgen.

  1. Linux 3.10 Torvalds schließt Merge-Fenster
  2. Linux 3.10 Kernel ohne Ticks
  3. Linux-Kernel 3.9 Viel Grafisches und mit Goldfischen
Blackberry
Blackberry Z10 im Langzeittest: Tausche Android gegen Blackberry
Blackberry Z10 im Langzeittest
Tausche Android gegen Blackberry

Mit dem Z10 versucht Blackberry ein Comeback im Smartphone-Markt. Auch Android-Anwendungen lassen sich auf dem Gerät installieren. Golem.de-Autor Tobias Költzsch hat zwei Wochen lang sein Galaxy S3 gegen das Z10 getauscht und im Langzeittest überprüft, wie schwer ein Umstieg ist.

  1. Smartphones Blackberry Q5 im Juli, Blackberry 10.1 wird verteilt
  2. Mobilfunk Fast drei Viertel der Smartphones laufen mit Android
  3. Blackberry-Chef "In fünf Jahren gibt es keine Tablets mehr"
Microsoft Surface
XPS 10 und Surface: Deutliche Preissenkungen bei Windows-RT-Tablets
XPS 10 und Surface
Deutliche Preissenkungen bei Windows-RT-Tablets

Zwei Hersteller von Windows-RT-Tablets haben die Preise ihrer Geräte gesenkt, für einige deutlich. Dell senkt die Preise direkt um ein Drittel und Microsoft gibt das ziemlich teure Type oder Touch Cover dazu. Die nächste RT-Generation soll sogar noch billiger werden.

  1. Microsoft Verkauf des Surface Pro startet am 31. Mai
  2. Neue Firmware Update macht das Surface RT lauter
  3. Windows-Tablet Microsoft wird neue Surface-Serie ankündigen
Forumsbeiträge »
  1. Electronic Arts Leitender EA-Entwickler bezeichnet Wii U als "Mist"

    Re: Und?

    Omnibrain | 07:59

  2. Electronic Arts Leitender EA-Entwickler bezeichnet Wii U als "Mist"

    "Mit der PS3 gibt es keinen Online-Zwang und...

    fratze123 | 07:56

  3. Electronic Arts Leitender EA-Entwickler bezeichnet Wii U als "Mist"

    "Genau das gleiche wurde auch dem mittlerweile...

    fratze123 | 07:54

  4. Apple-Zulieferer Wieder drei Suizide bei Foxconn

    Re: Apple hat aktiv Schuld daran

    j4rted | 07:53

  5. Yahoo Flickr mit kostenlosem 1 TByte für Fotos

    Re: So geht Fortschritt!

    Tijuana | 07:50

Ticker »
  1. Yahoo Flickr mit kostenlosem 1 TByte für Fotos

    06:10

  2. Sailfish-Smartphone Jolla stellt "The Other Half" vor

    14:35

  3. Internet und Krieg Wenn Social Networks zum Schützengraben werden

    14:25

  4. Instant Messenger Whatsapp in Deutschland immer beliebter

    13:25

  5. Milliarden-Deal Yahoo kauft Blogging-Plattform Tumblr

    11:48

  6. Electronic Arts Leitender EA-Entwickler bezeichnet Wii U als "Mist"

    14:15

  7. Apple-Zulieferer Wieder drei Suizide bei Foxconn

    13:48

  8. Cast AR Gefeuerte Valve-Entwickler zeigen Räumliche-Objekte-Brille

    12:33

Zum Artikel