• IT-Karriere:
  • Services:

Cyno Sure Prime: Passwortcracker nehmen Troy Hunts Hashes auseinander

SHA-1-Hashes zu knacken, geht mit Erfahrung auch im großen Stil: Die Hackergrupe Cyno Sure Prime hat 320 Millionen Hashes geknackt, nur bei 116 scheiterten sie. Die Untersuchung zeigt, dass Hunt neben Passwörtern auch einige Benutzernamen veröffentlicht hat.

Artikel veröffentlicht am ,
SHA-1-Passwort-Hashes sind im großten Stil geknackt worden.
SHA-1-Passwort-Hashes sind im großten Stil geknackt worden. (Bild: Leon Neal/Getty Images)

Mitgliedern der Gruppe Cyno Sure Prime ist es nach eigenen Angaben gelungen, die überwiegende Zahl der von Troy Hunt im August veröffentlichten Passwort-Hashes zu knacken. Der Großteil der Hashes nutzte dabei den als veraltet und unsicher geltenden Algorithmus Sha-1, nur wenige Passwörter wurden mit weiteren Algorithmen erneut gehasht ('nested hashes').

Stellenmarkt
  1. PDV-Systeme GmbH, Dachau
  2. Karlsruher Institut für Technologie (KIT) Campus Nord, Karlsruhe

Zuletzt hatte Cyno Sure Prime zahlreiche Hashes aus der Datenbank der gehackten Webseite Ashley Madison geknackt. Die Seite hatte eigentlich den als deutlich sicherer geltenden Algorithmus bcrypt genutzt, aber alte Passwörter nicht erneut gehasht, so dass diese knackbar waren.

Troy Hunts Datensatz enthält 320 Millionen SHA-1 Hashes

Insgesamt sind in dem nun veröffentlichten Datensatz rund 320 Millionen Hashes enthalten. Rund 1 Million dieser Hashes enthielten keine Plaintext-Passwörter, sondern erneute Hashes. Unter den von Troy Hunt veröffentlichten Hashes befinden sich nach Angaben von Cyno Sure Prime allerdings nicht nur Passwörter. Einige der Strings enthielten zum Beispiel E-Mail-Adressen oder Angaben zum Benutzernamen. Nach Rücksprache mit der Gruppe will Hunt die betroffenen Hashes nach Angaben von The Register aus seiner Datenbank entfernen.

Cyno Sure Prime fand im Laufe des Prozesses einige Beschränkungen der genutzten Werkzeuge, wie etwa Hashcat. Das Programm hat offenbar Probleme, Output-Dateien mit Hashes, deren String mit $HEX[] beginnt, erneut zu verarbeiten. Eine neue Version des Programms soll diesen Fehler beheben.

Hunt hatte die Daten veröffentlicht, weil er Webseiten und Nutzern ermöglichen wollte, häufig genutzte Kennwörter automatisch abzulehnen. Nutzer können auch auf einer Webseite prüfen, ob bestimmte Passwörter bereits in Benutzung sind, sollten dies aber nicht mit aktiv genutzten Passwörtern tun.

Hunt betreibt seit vielen Jahren den Dienst haveibeenpwned.com, bei dem Nutzer nachschauen können, ob ihre Passwörter in öffentlichen Passwortdumps, etwa aus dem Dropbox-Hack, auftauchen. Nutzer bekommen nach einer Registrierung Benachrichtigungen, wenn neue Datensätze hochgeladen werden und ihr Account davon betroffen ist. Der Dienst wird über freiwillige Spenden finanziert.

Nachtrag vom 5. September 2017, 14:05 Uhr

Angaben zum Geschätsmodell von haveibeenpwned.com korrigiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. 555,55€ (zzgl. Versandkosten)
  2. 399,00€ (Bestpreis! zzgl. Versand)
  3. (reduzierte Überstände, Restposten & Co.)
  4. (u. a. RTX 2080 ROG Strix Gaming Advanced für 699€, RTX 2080 SUPER Dual Evo OC für 739€ und...

l0cke 06. Sep 2017

Wow, anscheinend hast du dir die Seite nicht mal angeschaut. Im Regelfall gibt man dort...

My1 06. Sep 2017

wenn laut nem schreiber oben der winexplorer immer noch kein AES macht ist das alter...

dEnigma 05. Sep 2017

Ja, mir ist auch in den letzten zwei Tagen ähnliches aufgefallen.

hg (Golem.de) 05. Sep 2017

Mein Irrtum, habe es korrigiert. Danke für die Hinweise. VG,


Folgen Sie uns
       


Minecraft Earth - Gameplay

Minecraft schafft den Sprung in die echte-virtuelle Welt: In Minecraft Earth können Spieler direkt in der Nachbarschaft prächtige Gebäude aus dem Boden stampfen und gegen Skelette kämpfen.

Minecraft Earth - Gameplay Video aufrufen
In eigener Sache: Aktiv werden für Golem.de
In eigener Sache
Aktiv werden für Golem.de

Keine Werbung, kein unerwünschtes Tracking - kein Problem! Wer Golem.de-Inhalte pur nutzen möchte, hat neben dem Abo Golem pur jetzt eine weitere Möglichkeit, Golem.de zu unterstützen.

  1. Golem Akademie Von wegen rechtsfreier Raum!
  2. In eigener Sache Wie sich Unternehmen und Behörden für ITler attraktiv machen
  3. In eigener Sache Unser Kubernetes-Workshop kommt auf Touren

Definitive Editon angespielt: Das Age of Empires 2 für Könige
Definitive Editon angespielt
Das Age of Empires 2 für Könige

Die 27 Einzelspielerkampagnen sollen für rund 200 Stunden Beschäftigung sorgen, dazu kommen Verbesserungen bei der Grafik und Bedienung sowie eine von Grund auf neu programmierte Gegner- oder Begleit-KI: Die Definitive Edition von Age of Empires 2 ist erhältlich.


    Autonomes Fahren: Wenn der Wagen das Volk nicht versteht
    Autonomes Fahren
    Wenn der Wagen das Volk nicht versteht

    VW testet in Hamburg das vollautonome Fahren in der Stadt - und das recht erfolgreich, wie eine Probefahrt zeigt. Als größtes Problem erweist sich ausgerechnet die Höflichkeit der Fußgänger.
    Ein Bericht von Werner Pluta

    1. Volkswagen ID. Space Vizzion als Elektrokombi vorgestellt
    2. Elektroauto von VW Es hat sich bald ausgegolft
    3. ID.3 kommt Volkswagen verkauft den E-Golf zum Schnäppchenpreis

      •  /