Abo
  • Services:
Anzeige
Passwortklau bei großer US-Datingplattform
Passwortklau bei großer US-Datingplattform (Bild: eHarmony)

Datenklau bei eHarmony: In 72 Stunden über 1 Million Passwörter entschlüsselt

Passwortklau bei großer US-Datingplattform
Passwortklau bei großer US-Datingplattform (Bild: eHarmony)

Sicherheitsexperten haben die von der Onlinekontaktbörse eHarmony gekaperten Passwortdatenbanken analysiert und innerhalb von 72 Stunden fast 80 Prozent der Kennwörter ausgelesen. Sie waren in MD5-Hashes abgelegt.

Vor wenigen Tagen hatten Hacker von den Servern der Partnervermittlungsseite eHarmony Zugangsdaten entwendet, darunter über 1,5 Millionen gehashte Passwörter. Sicherheitsexperten bei Spiderlabs ist es gelungen, fast 80 Prozent der Passwörter innerhalb von 72 Stunden auszulesen. Wie sich herausstellte, waren sie per MD5 gehasht worden, ohne die Verwendung einer zufällig gewählten Zeichenfolge (Salt).

Anzeige

MD5 gilt inzwischen als unsicher und selbst der Entwickler Poul-Henning Kamp von Md5crypt, das per MD5 und Salt verschlüsselt, rät unbedingt von dessen Verwendung ab. In einem Blogpost erklärt er, dass es 1995 noch zu aufwendig war, die mit Md5crypt verschlüsselten Zeichenketten zu knacken. Inzwischen lassen sich die 128-Bit-Hashwerte mit modernen Rechnern jedoch leicht entschlüsseln. Administratoren sollten mindestens zu dem mächtigeren SHA2-Algorithmus greifen.

Entschlüsselt auf Nvidia-GPUs

Die Sicherheitsexperten bei Spiderlabs nutzen drei GPUs auf Nvidias 460GTX-Grafikkarten, um die von eHarmony erbeuteten Passwörter zu entschlüsseln. Den größten Teil der Arbeit erledigte die Anwendung oclHashcat aus der Softwaresammlung Hashcat. In einem zweiten Schritt setzten die Entwickler John the Ripper ein.

Groß- und Kleinschreibung ignoriert

Eine anschließende Analyse der verwendeten Passwörter ergab, dass eHarmony Kleinbuchstaben bei der Passwortvergabe in Versalien konvertierte und grundsätzlich nicht zwischen Groß- und Kleinbuchstaben unterschied, was die Entschlüsselung zusätzlich erleichterte.

Außerdem fiel den Sicherheitsexperten auf, dass kein Passwort mehr als drei Mal vorhanden war. Möglicherweise hätten Hacker eine bereits kompromittierte Version der Passwortliste im Internet ergattert, schreiben die Sicherheitsexperten.

Jungs- und Mädchennamen

Die meisten Passwörter waren siebenstellig gefolgt von sechs- und achtstelligen Zeichenketten. Sonderzeichen fehlten in 99,5 Prozent der Passwörter. Immerhin vergaben mehr als 50 Prozent der Nutzer ein Passwort mit der Kombination aus Buchstaben und Zahlen, 41 Prozent verwendeten nur Buchstaben. Mit 4 Prozent verwendeten die meisten Nutzer einen 2011 populären, männlichen Vornamen, 2 Prozent verwendeten einen populären, weiblichen aus dem gleichen Jahr. 3,5 Prozent der Nutzer entschieden sich für einen Hundenamen, der unter den 100 populärsten im Jahr 2011 war. Ein halbes Prozent der Nutzer wählte ein Passwort aus der Top-25-Liste der schlechtesten Kennwörter im Jahr 2011.

Erwartungsgemäß für eine Onlinekontaktbörse war die meistgenutzte Zeichenkette: "LOVE".

Anfang Januar 2012 hatte The Tech Herald nach einem Hack der Stratfor-Server die dort geklauten Passwörter entschlüsselt und analysiert.


eye home zur Startseite
wonz 28. Jun 2012

Kann man ja ausrechnen ;) Und normalerweise weiss der Hacker ja nicht, dass er überhaupt...

Nasenbaer 27. Jun 2012

Auf Fehler hinweisen ist völlig legitim. Lies dir aber nochmal die Überschrift dieses...

fratze123 27. Jun 2012

schön, dass du nur bauerntrampel kennst. :)

DASPRiD 27. Jun 2012

Lieber gleich Blowfish ;)



Anzeige

Stellenmarkt
  1. Deutsche Rückversicherung AG Verband öffentlicher Versicherer, Düsseldorf
  2. T-Systems International GmbH, München, Darmstadt, Bonn, Leinfelden-Echterdingen
  3. operational services GmbH & Co. KG, Frankfurt am Main, München, Nürnberg, Wolfsburg
  4. Preh GmbH, Bad Neustadt (Saale)


Anzeige
Hardware-Angebote
  1. (u. a. Asus GTX 1070 Strix, MSI GTX 1070 Gaming X 8G, Inno3D GTX 1070 iChill)
  2. beim Kauf eines 6- oder 8-Core FX Prozessors

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Tipps für IT-Engagement in Fernost
  3. Mit digitalen Workflows Geschäftsprozesse agiler machen


  1. Ransomware

    Trojaner Fantom gaukelt kritisches Windows-Update vor

  2. Megaupload

    Gericht verhandelt über Dotcoms Auslieferung an die USA

  3. Observatory

    Mozilla bietet Sicherheitscheck für Websites

  4. Teilzeitarbeit

    Amazon probiert 30-Stunden-Woche aus

  5. Archos

    Neues Smartphone mit Fingerabdrucksensor für 150 Euro

  6. Sicherheit

    Operas Server wurden angegriffen

  7. Maru

    Quellcode von Desktop-Android als Open Source verfügbar

  8. Linux

    Kernel-Sicherheitsinitiative wächst "langsam aber stetig"

  9. VR-Handschuh

    Dexta Robotics' Exoskelett für Motion Capturing

  10. Dragonfly 44

    Eine Galaxie fast ganz aus dunkler Materie



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Next Gen Memory: So soll der Speicher der nahen Zukunft aussehen
Next Gen Memory
So soll der Speicher der nahen Zukunft aussehen
  1. Arbeitsspeicher DDR5 nähert sich langsam der Marktreife
  2. SK Hynix HBM2-Stacks mit 4 GByte ab dem dritten Quartal verfügbar
  3. Arbeitsspeicher Crucial liefert erste NVDIMMs mit DDR4 aus

Wiper Blitz 2.0 im Test: Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
Wiper Blitz 2.0 im Test
Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
  1. Softrobotik Oktopus-Roboter wird mit Gas angetrieben
  2. Warenzustellung Schweizer Post testet autonome Lieferroboter
  3. Lockheed Martin Roboter Spider repariert Luftschiffe

8K- und VR-Bilder in Rio 2016: Wenn Olympia zur virtuellen Realität wird
8K- und VR-Bilder in Rio 2016
Wenn Olympia zur virtuellen Realität wird
  1. 400 MBit/s Telefónica und Huawei starten erstes deutsches 4.5G-Netz
  2. Medienanstalten Analoge TV-Verbreitung bindet hohe Netzkapazitäten
  3. Mehr Programme Vodafone Kabel muss Preise für HD-Einspeisung senken

  1. Re: Und der Rest ist Zuckerwatte

    Ach | 07:05

  2. Re: BQ Aquaris X5 Plus (~290¤)

    demokrit | 07:03

  3. Re: er hätte in Deutschland bleiben sollen ...

    crazypsycho | 06:51

  4. Re: Warum wird die Netzabdeckung nicht auf die...

    thesmann | 06:45

  5. Re: PC von der Stange vs Selbstbau

    DetlevCM | 06:42


  1. 13:49

  2. 12:46

  3. 11:34

  4. 15:59

  5. 15:18

  6. 13:51

  7. 12:59

  8. 15:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel