Cyno Sure Prime: Passwortcracker nehmen Troy Hunts Hashes auseinander

SHA-1-Hashes zu knacken, geht mit Erfahrung auch im großen Stil: Die Hackergrupe Cyno Sure Prime hat 320 Millionen Hashes geknackt, nur bei 116 scheiterten sie. Die Untersuchung zeigt, dass Hunt neben Passwörtern auch einige Benutzernamen veröffentlicht hat.

Artikel veröffentlicht am ,
SHA-1-Passwort-Hashes sind im großten Stil geknackt worden.
SHA-1-Passwort-Hashes sind im großten Stil geknackt worden. (Bild: Leon Neal/Getty Images)

Mitgliedern der Gruppe Cyno Sure Prime ist es nach eigenen Angaben gelungen, die überwiegende Zahl der von Troy Hunt im August veröffentlichten Passwort-Hashes zu knacken. Der Großteil der Hashes nutzte dabei den als veraltet und unsicher geltenden Algorithmus Sha-1, nur wenige Passwörter wurden mit weiteren Algorithmen erneut gehasht ('nested hashes').

Stellenmarkt
  1. (Senior) Projektleiter (w/m/d) Softwareentwicklung / Software Engineering
    über InterSearch Personalberatung GmbH & Co. KG, Großraum Düsseldorf/Dortmund
  2. IT Healthcare Spezialist Klinische Anwendungen und Entwicklung (m/w/d)
    Sana IT Services GmbH, Berlin
Detailsuche

Zuletzt hatte Cyno Sure Prime zahlreiche Hashes aus der Datenbank der gehackten Webseite Ashley Madison geknackt. Die Seite hatte eigentlich den als deutlich sicherer geltenden Algorithmus bcrypt genutzt, aber alte Passwörter nicht erneut gehasht, so dass diese knackbar waren.

Troy Hunts Datensatz enthält 320 Millionen SHA-1 Hashes

Insgesamt sind in dem nun veröffentlichten Datensatz rund 320 Millionen Hashes enthalten. Rund 1 Million dieser Hashes enthielten keine Plaintext-Passwörter, sondern erneute Hashes. Unter den von Troy Hunt veröffentlichten Hashes befinden sich nach Angaben von Cyno Sure Prime allerdings nicht nur Passwörter. Einige der Strings enthielten zum Beispiel E-Mail-Adressen oder Angaben zum Benutzernamen. Nach Rücksprache mit der Gruppe will Hunt die betroffenen Hashes nach Angaben von The Register aus seiner Datenbank entfernen.

Cyno Sure Prime fand im Laufe des Prozesses einige Beschränkungen der genutzten Werkzeuge, wie etwa Hashcat. Das Programm hat offenbar Probleme, Output-Dateien mit Hashes, deren String mit $HEX[] beginnt, erneut zu verarbeiten. Eine neue Version des Programms soll diesen Fehler beheben.

Golem Karrierewelt
  1. IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop
    27./28.09.2022, Virtuell
  2. Einführung in Unity: virtueller Ein-Tages-Workshop
    12.08.2022, Virtuell
Weitere IT-Trainings

Hunt hatte die Daten veröffentlicht, weil er Webseiten und Nutzern ermöglichen wollte, häufig genutzte Kennwörter automatisch abzulehnen. Nutzer können auch auf einer Webseite prüfen, ob bestimmte Passwörter bereits in Benutzung sind, sollten dies aber nicht mit aktiv genutzten Passwörtern tun.

Hunt betreibt seit vielen Jahren den Dienst haveibeenpwned.com, bei dem Nutzer nachschauen können, ob ihre Passwörter in öffentlichen Passwortdumps, etwa aus dem Dropbox-Hack, auftauchen. Nutzer bekommen nach einer Registrierung Benachrichtigungen, wenn neue Datensätze hochgeladen werden und ihr Account davon betroffen ist. Der Dienst wird über freiwillige Spenden finanziert.

Nachtrag vom 5. September 2017, 14:05 Uhr

Angaben zum Geschätsmodell von haveibeenpwned.com korrigiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


l0cke 06. Sep 2017

Wow, anscheinend hast du dir die Seite nicht mal angeschaut. Im Regelfall gibt man dort...

My1 06. Sep 2017

wenn laut nem schreiber oben der winexplorer immer noch kein AES macht ist das alter...

dEnigma 05. Sep 2017

Ja, mir ist auch in den letzten zwei Tagen ähnliches aufgefallen.

hg (Golem.de) 05. Sep 2017

Mein Irrtum, habe es korrigiert. Danke für die Hinweise. VG,



Aktuell auf der Startseite von Golem.de
Sparmaßnahmen
"Komplettes Chaos" nach Entlassungen bei Oracle

Auch Oracle hat einen massiven Stellenabbau begonnen. Das Unternehmen will eine Milliarde US-Dollar an Kosten einsparen.

Sparmaßnahmen: Komplettes Chaos nach Entlassungen bei Oracle
Artikel
  1. Klimawandel: SSDs sind klimaschädlicher als mechanische Festplatten
    Klimawandel
    SSDs sind klimaschädlicher als mechanische Festplatten

    Während ihrer Lebensdauer verursacht eine SSD fast doppelt so hohe CO2-Emissionen wie eine mechanische HDD.

  2. Nuklearer Anschlag: Russland soll Sprengung von AKW Saporischschja vorbereiten
    Nuklearer Anschlag
    Russland soll Sprengung von AKW Saporischschja vorbereiten

    Die Ukraine meldet, Russland habe das Kernkraftwerk Saporischschja mit Sprengstoff bestückt. Eine Sprengung könnte eine Katastrophe auslösen.

  3. Microsoft Loop: Riesenkonzept mit Riesenchance auf Riesenchaos
    Microsoft Loop
    Riesenkonzept mit Riesenchance auf Riesenchaos

    Sehr unauffällig rollt Microsoft seine neue Technik Loop für die Onlinezusammenarbeit aus. Admins sollten sie jetzt schon auf dem Schirm haben, denn sie ist vielversprechend, erfordert aber viel Eindenken. Wir erklären sie im Detail.
    Von Mathias Küfner

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (Gainward RTX 3070 559€, ASRock RX 6800 639€) • WD Black 2TB m. Kühlkörper (PS5) 219,90€ • Gigabyte Deals • Alternate (DeepCool Wakü 114,90€) • Apple Week bei Media Markt • be quiet! Deals • SSV bei Saturn (u. a. WD_BLACK SN850 1TB 119€) • Gamesplant Summer Sale [Werbung]
    •  /