Abo
  • Services:
Anzeige
SHA-1-Passwort-Hashes sind im großten Stil geknackt worden.
SHA-1-Passwort-Hashes sind im großten Stil geknackt worden. (Bild: Leon Neal/Getty Images)

Cyno Sure Prime: Passwortcracker nehmen Troy Hunts Hashes auseinander

SHA-1-Passwort-Hashes sind im großten Stil geknackt worden.
SHA-1-Passwort-Hashes sind im großten Stil geknackt worden. (Bild: Leon Neal/Getty Images)

SHA-1-Hashes zu knacken, geht mit Erfahrung auch im großen Stil: Die Hackergrupe Cyno Sure Prime hat 320 Millionen Hashes geknackt, nur bei 116 scheiterten sie. Die Untersuchung zeigt, dass Hunt neben Passwörtern auch einige Benutzernamen veröffentlicht hat.

Mitgliedern der Gruppe Cyno Sure Prime ist es nach eigenen Angaben gelungen, die überwiegende Zahl der von Troy Hunt im August veröffentlichten Passwort-Hashes zu knacken. Der Großteil der Hashes nutzte dabei den als veraltet und unsicher geltenden Algorithmus Sha-1, nur wenige Passwörter wurden mit weiteren Algorithmen erneut gehasht ('nested hashes').

Anzeige

Zuletzt hatte Cyno Sure Prime zahlreiche Hashes aus der Datenbank der gehackten Webseite Ashley Madison geknackt. Die Seite hatte eigentlich den als deutlich sicherer geltenden Algorithmus bcrypt genutzt, aber alte Passwörter nicht erneut gehasht, so dass diese knackbar waren.

Troy Hunts Datensatz enthält 320 Millionen SHA-1 Hashes

Insgesamt sind in dem nun veröffentlichten Datensatz rund 320 Millionen Hashes enthalten. Rund 1 Million dieser Hashes enthielten keine Plaintext-Passwörter, sondern erneute Hashes. Unter den von Troy Hunt veröffentlichten Hashes befinden sich nach Angaben von Cyno Sure Prime allerdings nicht nur Passwörter. Einige der Strings enthielten zum Beispiel E-Mail-Adressen oder Angaben zum Benutzernamen. Nach Rücksprache mit der Gruppe will Hunt die betroffenen Hashes nach Angaben von The Register aus seiner Datenbank entfernen.

Cyno Sure Prime fand im Laufe des Prozesses einige Beschränkungen der genutzten Werkzeuge, wie etwa Hashcat. Das Programm hat offenbar Probleme, Output-Dateien mit Hashes, deren String mit $HEX[] beginnt, erneut zu verarbeiten. Eine neue Version des Programms soll diesen Fehler beheben.

Hunt hatte die Daten veröffentlicht, weil er Webseiten und Nutzern ermöglichen wollte, häufig genutzte Kennwörter automatisch abzulehnen. Nutzer können auch auf einer Webseite prüfen, ob bestimmte Passwörter bereits in Benutzung sind, sollten dies aber nicht mit aktiv genutzten Passwörtern tun.

Hunt betreibt seit vielen Jahren den Dienst haveibeenpwned.com, bei dem Nutzer nachschauen können, ob ihre Passwörter in öffentlichen Passwortdumps, etwa aus dem Dropbox-Hack, auftauchen. Nutzer bekommen nach einer Registrierung Benachrichtigungen, wenn neue Datensätze hochgeladen werden und ihr Account davon betroffen ist. Der Dienst wird über freiwillige Spenden finanziert.

Nachtrag vom 5. September 2017, 14:05 Uhr

Angaben zum Geschätsmodell von haveibeenpwned.com korrigiert.


eye home zur Startseite
l0cke 06. Sep 2017

Wow, anscheinend hast du dir die Seite nicht mal angeschaut. Im Regelfall gibt man dort...

Themenstart

My1 06. Sep 2017

wenn laut nem schreiber oben der winexplorer immer noch kein AES macht ist das alter...

Themenstart

dEnigma 05. Sep 2017

Ja, mir ist auch in den letzten zwei Tagen ähnliches aufgefallen.

Themenstart

hg (Golem.de) 05. Sep 2017

Mein Irrtum, habe es korrigiert. Danke für die Hinweise. VG,

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. SCHIFFL GmbH & Co. KG, Hamburg
  2. BG-Phoenics GmbH, Hannover
  3. HAMBURG SÜD Schifffahrtsgruppe, Hamburg
  4. BG-Phoenics GmbH, München


Anzeige
Hardware-Angebote
  1. 56,08€ (Vergleichspreis ab ca. 65€)
  2. 399€ + 3,99€ Versand

Folgen Sie uns
       


  1. Trekstor

    Kompakte Convertibles kosten ab 350 Euro

  2. Apple

    4K-Filme in iTunes laufen nur auf neuem Apple TV

  3. Bundesgerichtshof

    Keine Urheberrechtsverletzung bei Bildersuche

  4. FedEX

    TNT verliert durch NotPetya 300 Millionen US-Dollar

  5. Arbeit aufgenommen

    Deutsches Internet-Institut nach Weizenbaum benannt

  6. Archer CR700v

    Kabelrouter von TP-Link doch nicht komplett abgesagt

  7. QC35 II

    Bose bringt Kopfhörer mit eingebautem Google Assistant

  8. Nach "Judenhasser"-Eklat

    Facebook erlaubt wieder gezielte Werbung an Berufsgruppen

  9. Tuxedo

    Linux-Notebook läuft bis zu 20 Stunden

  10. Umfrage

    88 Prozent wollen bezahlbaren Breitbandanschluss



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Metroid Samus Returns im Kurztest: Rückkehr der gelenkigen Kopfgeldjägerin
Metroid Samus Returns im Kurztest
Rückkehr der gelenkigen Kopfgeldjägerin
  1. Doom, Wolfenstein, Minecraft Nintendo kriegt große Namen
  2. Nintendo Das NES Classic Mini kommt 2018 noch einmal auf den Markt
  3. Nintendo Mario verlegt keine Rohre mehr

Galaxy Note 8 im Test: Samsungs teure Dual-Kamera-Premiere
Galaxy Note 8 im Test
Samsungs teure Dual-Kamera-Premiere
  1. Galaxy S8 und Note 8 Bixby-Button lässt sich teilweise deaktivieren
  2. Videos Youtube bringt HDR auf Smartphones
  3. Galaxy Note 8 im Hands on Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

Zukunft des Autos: "Unsere Elektrofahrzeuge sollen typische Porsche sein"
Zukunft des Autos
"Unsere Elektrofahrzeuge sollen typische Porsche sein"
  1. Concept EQA Mercedes elektrifiziert die Kompaktklasse
  2. GLC F-Cell Mercedes stellt SUV mit Brennstoffzelle und Akku vor
  3. ID Crozz VW stellt elektrisches Crossover vor

  1. Re: Ja? Wieso funktioniert dann mein Edge und die...

    elf | 17:51

  2. Re: MS-DOS 6.22

    Test_The_Rest | 17:50

  3. Re: History repeats itself

    George99 | 17:49

  4. Re: Was hat das mit "Die PARTEI" zui tun?

    deutscher_michel | 17:47

  5. Re: Backup - My Ass!!

    ArcherV | 17:45


  1. 17:49

  2. 17:39

  3. 17:16

  4. 17:11

  5. 16:49

  6. 16:17

  7. 16:01

  8. 15:37


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel