Passwortklau bei großer US-Datingplattform
Passwortklau bei großer US-Datingplattform (Bild: eHarmony)

Datenklau bei eHarmony In 72 Stunden über 1 Million Passwörter entschlüsselt

Sicherheitsexperten haben die von der Onlinekontaktbörse eHarmony gekaperten Passwortdatenbanken analysiert und innerhalb von 72 Stunden fast 80 Prozent der Kennwörter ausgelesen. Sie waren in MD5-Hashes abgelegt.

Anzeige

Vor wenigen Tagen hatten Hacker von den Servern der Partnervermittlungsseite eHarmony Zugangsdaten entwendet, darunter über 1,5 Millionen gehashte Passwörter. Sicherheitsexperten bei Spiderlabs ist es gelungen, fast 80 Prozent der Passwörter innerhalb von 72 Stunden auszulesen. Wie sich herausstellte, waren sie per MD5 gehasht worden, ohne die Verwendung einer zufällig gewählten Zeichenfolge (Salt).

MD5 gilt inzwischen als unsicher und selbst der Entwickler Poul-Henning Kamp von Md5crypt, das per MD5 und Salt verschlüsselt, rät unbedingt von dessen Verwendung ab. In einem Blogpost erklärt er, dass es 1995 noch zu aufwendig war, die mit Md5crypt verschlüsselten Zeichenketten zu knacken. Inzwischen lassen sich die 128-Bit-Hashwerte mit modernen Rechnern jedoch leicht entschlüsseln. Administratoren sollten mindestens zu dem mächtigeren SHA2-Algoritmus greifen.

Entschlüsselt auf Nvidia-GPUs

Die Sicherheitsexperten bei Spiderlabs nutzen drei GPUs auf Nvidias 460GTX-Grafikkarten, um die von eHarmony erbeuteten Passwörter zu entschlüsseln. Den größten Teil der Arbeit erledigte die Anwendung oclHashcat aus der Softwaresammlung Hashcat. In einem zweiten Schritt setzten die Entwickler John the Ripper ein.

Groß- und Kleinschreibung ignoriert

Eine anschließende Analyse der verwendeten Passwörter ergab, dass eHarmony Kleinbuchstaben bei der Passwortvergabe in Versalien konvertierte und grundsätzlich nicht zwischen Groß- und Kleinbuchstaben unterschied, was die Entschlüsselung zusätzlich erleichterte.

Außerdem fiel den Sicherheitsexperten auf, dass kein Passwort mehr als drei Mal vorhanden war. Möglicherweise hätten Hacker eine bereits kompromittierte Version der Passwortliste im Internet ergattert, schreiben die Sicherheitsexperten.

Jungs- und Mädchennamen

Die meisten Passwörter waren siebenstellig gefolgt von sechs- und achtstelligen Zeichenketten. Sonderzeichen fehlten in 99,5 Prozent der Passwörter. Immerhin vergaben mehr als 50 Prozent der Nutzer ein Passwort mit der Kombination aus Buchstaben und Zahlen, 41 Prozent verwendeten nur Buchstaben. Mit 4 Prozent verwendeten die meisten Nutzer einen 2011 populären, männlichen Vornamen, 2 Prozent verwendeten einen populären, weiblichen aus dem gleichen Jahr. 3,5 Prozent der Nutzer entschieden sich für einen Hundenamen, der unter den 100 populärsten im Jahr 2011 war. Ein halbes Prozent der Nutzer wählte ein Passwort aus der Top-25-Liste der schlechtesten Kennwörter im Jahr 2011.

Erwartungsgemäß für eine Onlinekontaktbörse war die meistgenutzte Zeichenkette: "LOVE".

Anfang Januar 2012 hatte The Tech Herald nach einem Hack der Stratfor-Server die dort geklauten Passwörter entschlüsselt und analysiert.


wonz 28. Jun 2012

Kann man ja ausrechnen ;) Und normalerweise weiss der Hacker ja nicht, dass er überhaupt...

Nasenbaer 27. Jun 2012

Auf Fehler hinweisen ist völlig legitim. Lies dir aber nochmal die Überschrift dieses...

fratze123 27. Jun 2012

schön, dass du nur bauerntrampel kennst. :)

DASPRiD 27. Jun 2012

Lieber gleich Blowfish ;)

Kommentieren



Anzeige

  1. Project Manager (m/w)
    Gelato Group via Academic Work Germany GmbH, Oslo (Norwegen)
  2. Referent/in Porfolio- / Projektmanagement
    Wüstenrot Bausparkasse AG, Ludwigsburg
  3. IT-Berater (m/w) - Netzwerke und Systeme / Cisco
    Lufthansa Industry Solutions AS GmbH, Hamburg
  4. (Junior) Online Developer (m/w)
    Pixelpark Bielefeld GmbH, Bielefeld

Detailsuche


Blu-ray-Angebote
  1. Sin City 2 - A Dame to kill for [Blu-ray]
    9,99€ FSK 18
  2. Warrior [Blu-ray]
    5,99€
  3. VORBESTELLBAR: Better Call Saul - Die komplette erste Season (Steelbook) (exklusiv bei Amazon.de) [Blu-ray] [Limited Edition]
    34,99€

Weitere Angebote


Folgen Sie uns
       


  1. Die Woche im Video

    Diskettenhaufen und heiße Teilchen

  2. Frankfurt

    Betreiber modernisieren Mobilfunknetz der U-Bahn

  3. 3D-Varius

    Pauline, die Geige aus dem 3D-Drucker

  4. Vectoring

    Telekom zählt eigenes 50 MBit/s nicht als 50 MBit/s

  5. Headlander

    Mit Köpfchen in die 70er-Jahre-Raumstation

  6. This War of Mine

    Krieg mit The Little Ones auf Konsole

  7. Soziales Netzwerk

    Facebook hat eine Milliarde Nutzer an einem Tag

  8. Google

    Chrome pausiert ab September einige Flash-Werbung

  9. Mobilfunknetz

    Bahn will WLAN im ICE mit allen Netzbetreibern verbessern

  10. Rare Replay im Test

    Banjo, Conker und mehr im Paket



Haben wir etwas übersehen?

E-Mail an news@golem.de



TempleOS im Test: Göttlicher Hardcore
TempleOS im Test
Göttlicher Hardcore
  1. Microsoft Erster Insider-Build seit dem Erscheinen von Windows 10
  2. Erste Probleme mit Zwangsupdates Windows-10-Patch bockt
  3. Windows 10 Microsoft gibt Enterprise-Version frei

ESL One: Standing Ovations für den unbeliebten Sieger
ESL One
Standing Ovations für den unbeliebten Sieger
  1. E-Sport Mit Speicheltests gegen Doping
  2. The International Evil Geniuses gewinnt rund 6,6 Millionen US-Dollar
  3. E-Sports "Eine Woche Pause kann die ganze Form zunichtemachen"

Cheating im E-Sport: Digitales Doping
Cheating im E-Sport
Digitales Doping
  1. E-Sport Doping-Tests bei ESL-Turnieren
  2. Counter-Strike E-Sportler berichtet über Doping mit Psychopharmaka
  3. Spieleentwicklung "Free-to-Play ist das beste Geschäftsmodell für E-Sport"

  1. Re: Wieso ist Glasfaser von Förderung ausgeschlossen?

    Ext3h | 09:11

  2. Re: Computer von sega und Nintendo???

    Nadja Neumann | 09:11

  3. Halbe Wahrheit

    himbeertoni | 09:04

  4. Re: Polycomputer

    CHU | 09:04

  5. Re: Denkfehler: eSport ist nicht Sport, sondern...

    Moe479 | 09:02


  1. 09:02

  2. 19:06

  3. 18:17

  4. 17:16

  5. 16:36

  6. 15:27

  7. 15:24

  8. 14:38


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel