Abo
  • Services:
Anzeige
SHA-1-Passwort-Hashes sind im großten Stil geknackt worden.
SHA-1-Passwort-Hashes sind im großten Stil geknackt worden. (Bild: Leon Neal/Getty Images)

Cyno Sure Prime: Passwortcracker nehmen Troy Hunts Hashes auseinander

SHA-1-Passwort-Hashes sind im großten Stil geknackt worden.
SHA-1-Passwort-Hashes sind im großten Stil geknackt worden. (Bild: Leon Neal/Getty Images)

SHA-1-Hashes zu knacken, geht mit Erfahrung auch im großen Stil: Die Hackergrupe Cyno Sure Prime hat 320 Millionen Hashes geknackt, nur bei 116 scheiterten sie. Die Untersuchung zeigt, dass Hunt neben Passwörtern auch einige Benutzernamen veröffentlicht hat.

Mitgliedern der Gruppe Cyno Sure Prime ist es nach eigenen Angaben gelungen, die überwiegende Zahl der von Troy Hunt im August veröffentlichten Passwort-Hashes zu knacken. Der Großteil der Hashes nutzte dabei den als veraltet und unsicher geltenden Algorithmus Sha-1, nur wenige Passwörter wurden mit weiteren Algorithmen erneut gehasht ('nested hashes').

Anzeige

Zuletzt hatte Cyno Sure Prime zahlreiche Hashes aus der Datenbank der gehackten Webseite Ashley Madison geknackt. Die Seite hatte eigentlich den als deutlich sicherer geltenden Algorithmus bcrypt genutzt, aber alte Passwörter nicht erneut gehasht, so dass diese knackbar waren.

Troy Hunts Datensatz enthält 320 Millionen SHA-1 Hashes

Insgesamt sind in dem nun veröffentlichten Datensatz rund 320 Millionen Hashes enthalten. Rund 1 Million dieser Hashes enthielten keine Plaintext-Passwörter, sondern erneute Hashes. Unter den von Troy Hunt veröffentlichten Hashes befinden sich nach Angaben von Cyno Sure Prime allerdings nicht nur Passwörter. Einige der Strings enthielten zum Beispiel E-Mail-Adressen oder Angaben zum Benutzernamen. Nach Rücksprache mit der Gruppe will Hunt die betroffenen Hashes nach Angaben von The Register aus seiner Datenbank entfernen.

Cyno Sure Prime fand im Laufe des Prozesses einige Beschränkungen der genutzten Werkzeuge, wie etwa Hashcat. Das Programm hat offenbar Probleme, Output-Dateien mit Hashes, deren String mit $HEX[] beginnt, erneut zu verarbeiten. Eine neue Version des Programms soll diesen Fehler beheben.

Hunt hatte die Daten veröffentlicht, weil er Webseiten und Nutzern ermöglichen wollte, häufig genutzte Kennwörter automatisch abzulehnen. Nutzer können auch auf einer Webseite prüfen, ob bestimmte Passwörter bereits in Benutzung sind, sollten dies aber nicht mit aktiv genutzten Passwörtern tun.

Hunt betreibt seit vielen Jahren den Dienst haveibeenpwned.com, bei dem Nutzer nachschauen können, ob ihre Passwörter in öffentlichen Passwortdumps, etwa aus dem Dropbox-Hack, auftauchen. Nutzer bekommen nach einer Registrierung Benachrichtigungen, wenn neue Datensätze hochgeladen werden und ihr Account davon betroffen ist. Der Dienst wird über freiwillige Spenden finanziert.

Nachtrag vom 5. September 2017, 14:05 Uhr

Angaben zum Geschätsmodell von haveibeenpwned.com korrigiert.


eye home zur Startseite
l0cke 06. Sep 2017

Wow, anscheinend hast du dir die Seite nicht mal angeschaut. Im Regelfall gibt man dort...

My1 06. Sep 2017

wenn laut nem schreiber oben der winexplorer immer noch kein AES macht ist das alter...

dEnigma 05. Sep 2017

Ja, mir ist auch in den letzten zwei Tagen ähnliches aufgefallen.

hg (Golem.de) 05. Sep 2017

Mein Irrtum, habe es korrigiert. Danke für die Hinweise. VG,



Anzeige

Stellenmarkt
  1. Bundeskriminalamt, Meckenheim
  2. Fresenius Netcare GmbH, Bad Homburg
  3. KEYMILE GmbH, Hannover
  4. BHS Corrugated Maschinen- und Anlagenbau GmbH, Weiherhammer


Anzeige
Top-Angebote
  1. 129,99€ (219,98€ für zwei)
  2. 99,99€ für Prime-Mitglieder (Bestpreis!)

Folgen Sie uns
       


  1. Internet

    Unternehmen in Deutschland weiter mittelmäßig versorgt

  2. BeA

    Soldan will Anwälten das Internet ausdrucken

  3. Videospeicher

    Samsung liefert GDDR6 mit doppelter Kapazität

  4. Baywatch

    Drohne rettet zwei Schwimmer

  5. Flugzeuge

    Norwegen will Kurzstreckenflüge bis 2040 elektrifizieren

  6. Kabelnetz

    Vodafone setzt bereits Docsis 3.1 beim Endkunden ein

  7. Neuer Standort

    Amazon sucht das zweite Hauptquartier

  8. Matt Booty

    Mr. Minecraft wird neuer Spiele-Chef bei Microsoft

  9. Gerichtsurteil

    Internet- und Fernsehkunden müssen bei Umzug weiterzahlen

  10. Sicherheitsupdate

    Microsoft-Compiler baut Schutz gegen Spectre



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nachbarschaftsnetzwerke: Nebenan statt mittendrin
Nachbarschaftsnetzwerke
Nebenan statt mittendrin
  1. Loki App zeigt Inhalte je nach Stimmung des Nutzers an
  2. Nextdoor Das soziale Netzwerk für den Blockwart
  3. Hasskommentare Neuer Eco-Chef Süme will nicht mit AfD reden

Sgnl im Hands on: Sieht blöd aus, funktioniert aber
Sgnl im Hands on
Sieht blöd aus, funktioniert aber
  1. NGSFF alias M.3 Adata zeigt seine erste SSD mit breiterer Platine
  2. Displaytechnik Samsung soll faltbares Smartphone auf CES gezeigt haben
  3. Vuzix Blade im Hands on Neue Datenbrille mit einem scharfen und hellen Bild

EU-Urheberrechtsreform: Abmahnungen treffen "nur die Dummen"
EU-Urheberrechtsreform
Abmahnungen treffen "nur die Dummen"
  1. Leistungsschutzrecht EU-Kommission hält kritische Studie zurück
  2. Leistungsschutzrecht EU-Staaten uneins bei Urheberrechtsreform

  1. Re: Kein Entdecker, sondern Entwickler von...

    Trollversteher | 09:08

  2. Re: Muss jetzt jeder Youtube-Channel eine Lizenz...

    NaruHina | 09:07

  3. Re: So ein Müll

    Marvin-42 | 09:07

  4. Re: Stichtag Umzugstermin

    Ben Stan | 09:05

  5. In der Branche herrscht Partystimmung ...

    Der Held vom... | 09:04


  1. 09:08

  2. 08:52

  3. 07:49

  4. 07:35

  5. 07:18

  6. 19:09

  7. 16:57

  8. 16:48


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel