Abo
  • Services:
Anzeige
SHA-1-Passwort-Hashes sind im großten Stil geknackt worden.
SHA-1-Passwort-Hashes sind im großten Stil geknackt worden. (Bild: Leon Neal/Getty Images)

Cyno Sure Prime: Passwortcracker nehmen Troy Hunts Hashes auseinander

SHA-1-Passwort-Hashes sind im großten Stil geknackt worden.
SHA-1-Passwort-Hashes sind im großten Stil geknackt worden. (Bild: Leon Neal/Getty Images)

SHA-1-Hashes zu knacken, geht mit Erfahrung auch im großen Stil: Die Hackergrupe Cyno Sure Prime hat 320 Millionen Hashes geknackt, nur bei 116 scheiterten sie. Die Untersuchung zeigt, dass Hunt neben Passwörtern auch einige Benutzernamen veröffentlicht hat.

Mitgliedern der Gruppe Cyno Sure Prime ist es nach eigenen Angaben gelungen, die überwiegende Zahl der von Troy Hunt im August veröffentlichten Passwort-Hashes zu knacken. Der Großteil der Hashes nutzte dabei den als veraltet und unsicher geltenden Algorithmus Sha-1, nur wenige Passwörter wurden mit weiteren Algorithmen erneut gehasht ('nested hashes').

Anzeige

Zuletzt hatte Cyno Sure Prime zahlreiche Hashes aus der Datenbank der gehackten Webseite Ashley Madison geknackt. Die Seite hatte eigentlich den als deutlich sicherer geltenden Algorithmus bcrypt genutzt, aber alte Passwörter nicht erneut gehasht, so dass diese knackbar waren.

Troy Hunts Datensatz enthält 320 Millionen SHA-1 Hashes

Insgesamt sind in dem nun veröffentlichten Datensatz rund 320 Millionen Hashes enthalten. Rund 1 Million dieser Hashes enthielten keine Plaintext-Passwörter, sondern erneute Hashes. Unter den von Troy Hunt veröffentlichten Hashes befinden sich nach Angaben von Cyno Sure Prime allerdings nicht nur Passwörter. Einige der Strings enthielten zum Beispiel E-Mail-Adressen oder Angaben zum Benutzernamen. Nach Rücksprache mit der Gruppe will Hunt die betroffenen Hashes nach Angaben von The Register aus seiner Datenbank entfernen.

Cyno Sure Prime fand im Laufe des Prozesses einige Beschränkungen der genutzten Werkzeuge, wie etwa Hashcat. Das Programm hat offenbar Probleme, Output-Dateien mit Hashes, deren String mit $HEX[] beginnt, erneut zu verarbeiten. Eine neue Version des Programms soll diesen Fehler beheben.

Hunt hatte die Daten veröffentlicht, weil er Webseiten und Nutzern ermöglichen wollte, häufig genutzte Kennwörter automatisch abzulehnen. Nutzer können auch auf einer Webseite prüfen, ob bestimmte Passwörter bereits in Benutzung sind, sollten dies aber nicht mit aktiv genutzten Passwörtern tun.

Hunt betreibt seit vielen Jahren den Dienst haveibeenpwned.com, bei dem Nutzer nachschauen können, ob ihre Passwörter in öffentlichen Passwortdumps, etwa aus dem Dropbox-Hack, auftauchen. Nutzer bekommen nach einer Registrierung Benachrichtigungen, wenn neue Datensätze hochgeladen werden und ihr Account davon betroffen ist. Der Dienst wird über freiwillige Spenden finanziert.

Nachtrag vom 5. September 2017, 14:05 Uhr

Angaben zum Geschätsmodell von haveibeenpwned.com korrigiert.


eye home zur Startseite
l0cke 06. Sep 2017

Wow, anscheinend hast du dir die Seite nicht mal angeschaut. Im Regelfall gibt man dort...

My1 06. Sep 2017

wenn laut nem schreiber oben der winexplorer immer noch kein AES macht ist das alter...

dEnigma 05. Sep 2017

Ja, mir ist auch in den letzten zwei Tagen ähnliches aufgefallen.

hg (Golem.de) 05. Sep 2017

Mein Irrtum, habe es korrigiert. Danke für die Hinweise. VG,



Anzeige

Stellenmarkt
  1. Alfred Kärcher GmbH & Co. KG, Winnenden bei Stuttgart
  2. über Hays AG, München
  3. NOWIS GmbH, Oldenburg
  4. ETAS GmbH, Stuttgart


Anzeige
Top-Angebote
  1. 429,00€ statt 469,00€
  2. 62,90€ statt 69,90€
  3. (heute u. a. Fire-Tablets günstiger, DC-Filme und Serien reduziert, Sigma-Objektive reduziert)

Folgen Sie uns
       


  1. Open Routing

    Facebook gibt interne Plattform für Backbone-Routing frei

  2. Übernahme

    Vivendi lässt Ubisoft ein halbes Jahr in Ruhe

  3. Boston Dynamics

    Humanoider Roboter Atlas macht Salto rückwärts

  4. Projekthoster

    Github zeigt Sicherheitswarnungen für Projektabhängigkeiten

  5. Sicherheitslücke bei Amazon Key

    Amazons Heimlieferanten können Cloud Cam abschalten

  6. Luftfahrt

    China plant Super-Windkanal für Hyperschallflugzeuge

  7. Quad9

    IBM startet sicheren und datenschutzfreundlichen DNS-Dienst

  8. Intel

    Ice-Lake-Xeon ersetzt Xeon Phi Knights Hill

  9. Star Wars Jedi Challenges im Test

    Lichtschwertwirbeln im Wohnzimmer

  10. Zertifikate

    Startcom gibt auf



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Universal Paperclips: Mit ein paar Sexdezillionen Büroklammern die Welt erobern
Universal Paperclips
Mit ein paar Sexdezillionen Büroklammern die Welt erobern
  1. Disney Marvel Heroes wird geschlossen
  2. Starcraft 2 Blizzard lästert über Pay-to-Win in Star Wars Battlefront 2
  3. Free to Play World of Tanks bringt pro Nutzer und Monat 3,30 Dollar ein

Star Wars Battlefront 2 im Test: Filmreife Sternenkrieger
Star Wars Battlefront 2 im Test
Filmreife Sternenkrieger
  1. Electronic Arts Community empört über freischaltbare Helden in Battlefront 2
  2. Star Wars Mächtiger Zusatzinhalt für Battlefront 2 angekündigt
  3. Star Wars Battlefront 2 angespielt Sammeln ihr sollt ...

Coffee Lake vs. Ryzen: Was CPU-Multitasking mit Spielen macht
Coffee Lake vs. Ryzen
Was CPU-Multitasking mit Spielen macht
  1. Custom Foundry Intel will 10-nm-Smartphone-SoCs ab 2018 produzieren
  2. ARM-Prozessoren Macom verkauft Applied Micro
  3. Apple A11 Bionic KI-Hardware ist so groß wie mehrere CPU-Kerne

  1. Re: Witzig. Wieder ein E-Auto bericht von Leuten...

    Eheran | 18:38

  2. Re: Ich mag Apple und deren goldener Käfig gar nicht

    Trollifutz | 18:34

  3. Re: Vorsicht !

    Topf | 18:31

  4. Re: Sie lernen es nicht

    VigarLunaris | 18:31

  5. Re: Frontantrieb...

    bplhkp | 18:31


  1. 17:08

  2. 16:30

  3. 16:17

  4. 15:49

  5. 15:20

  6. 15:00

  7. 14:40

  8. 14:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel