Nova analiza Adobe korisničkih lozinki koja je procurila nakon njezinog hakiranja prošlog mjeseca još jednom otkriva da većina ljudi radije izbjegava složenost kada su u pitanju lozinke.
Dobro je poznato da ljudi često biraju lozinke koje je lako zapamtiti, ali ih je lako probiti kako bi zaštitili svoje račune. Zahvaljujući radu jednog stručnjaka za lozinke, sada se smatra da su milijuni korisnika Adobea bili među onima koji također vole užasne lozinke.
Adobe je nedavno otkrio da se pokazalo da je sigurnosni proboj koji je utjecao na tvrtku prošlog mjeseca bio uključen u najmanje 38 milijuna Adobe ID-ova i šifriranih lozinki, a ne 2,9 milijuna koliko je tvrtka prvotno prijavila.
Ali brojka od 38 milijuna odnosila se samo na aktivne račune. Uz izvorni kod za proizvode kao što je ColdFusion, hakeri su napravili i objavili datoteku koja je sadržavala preko više od milijun korisničkih zapisa za neaktivne i aktivne račune, što uključuje više od 130 milijuna šifriranih lozinke.
Pročitaj ovo
- Trebaju li nevidljive lozinke zaista maskirati?
- Pokvarena jezgra lozinke nije složenost, već ponovna upotreba
- Mogu li 'medene riječi' pomoći u zaustavljanju kršenja lozinki visokog profila?
- Jedna lozinka probijena i vaš posao je povijest
- Google predstavlja petogodišnji plan za jaku autentifikaciju
Iako je Adobe rekao da su lozinke bile šifrirane, čini se da način na koji je Adobe to učinio nije bio dovoljan da spriječi stručnjake za lozinke i osnivač sigurnosne tvrtke Stricture Consulting Group, Jeremi Gosney, od njihovog izvođenja kako bi se otkrile najčešće korištene lozinke, koji objavio je tijekom vikenda, koji obuhvaća oko šest milijuna ili nešto manje od pet posto od 130 milijuna popisa zaporki. (Kako ih je izveo objašnjeno je u nastavku.)
Najpopularnija lozinka, koju koristi gotovo dva milijuna korisnika Adobea, je "123456". Tu ipak nema nikakvih iznenađenja; curenje Yahooa 450.000 lozinki prošle godine i druga slična kršenja također su otkrila istu lozinku kao korisničku omiljenu.
Ostali u Adobe top 10 su jednako loši. Drugi najpopularniji bio je "123456789", korišten za 446.162 računa, a slijedi ga "lozinka" zajednička za 345.843 računa, "adobe123" korišten u 211.659 računa, "12345678" korišten za 201.580 računa, a slijede "qwerty", "1234567", "111111", "photoshop" i "123123".
Gosney napominje da budući da on nema ključ koji je Adobe koristio za šifriranje lozinki 130.324.429 korisnika — i budući da Adobe još uvijek blokira pristup svojim uslugama dok vlasnici ne ponište svoje lozinke — nemoguće je sa sigurnošću reći da je popis potpuno točan, ali kaže da je svejedno "prilično uvjeren" u njegovu točnost.
Gosney je potvrdio da je izvor analize datoteka koja je sadržavala lozinke procurila na Anonnews prošlog tjedna. Pa kako je to sve bilo moguće? Evo što je rekao za ZDNet:
Vidite, sve su lozinke u ovom curenju šifrirane istim ključem. Bez tog ključa ne možemo razbiti niti jednu lozinku. Ali čim dobijemo taj ključ, možemo ih odmah sve provaliti. Dakle, za ovo konkretno curenje podataka, ne pokušavamo probiti pojedinačne lozinke – pokušavamo probiti ključ za šifriranje.
Adobe je šifrirao lozinke pomoću 3DES u ECB načinu rada. 3DES sam po sebi nije loša šifra, ovisno o tome koja je opcija ključa korištena. Ali ECB način je stvarno loš, jer curi informacija o tome što je šifrirano. U osnovi, ECB način funkcionira dijeljenjem poruke u blokove, a zatim šifriranjem svakog bloka pojedinačno. To znači da će isti blok otvorenog teksta uvijek rezultirati istim blokom šifriranog teksta kada je šifriran istim ključem.
Analizirajući obrasce u šifriranom tekstu zajedno s poznatim parovima otvoreni tekst-šifrirani tekst omogućuje vam da naučite dosta informacija o šifriranim podacima. U ovom slučaju, imali smo puno poznatih parova otvoreni tekst-šifrirani tekst jer je mnogo ljudi bilo pogođeno ovim kršenjem, uključujući i mene.
Popis 100 najboljih koji smo objavili temeljio se isključivo na ručnoj analizi šifriranih tekstova, u kombinaciji s ručnom analizom savjeta za lozinku koje je dao korisnik za svaku lozinku. To nam je omogućilo da napravimo vrlo obrazovana nagađanja o tome što bi svaka od lozinki mogla biti, ali nećemo sa sigurnošću znati dok se ključ za šifriranje ne povrati.
Najviše su govorili savjeti za lozinku. Ogroman broj ljudi shvatio je koncept savjeta za lozinku previše doslovno, te je kao savjet dao samu lozinku. Analizirajući tisuće savjeta za lozinku po šifriranom tekstu i uspoređujući te informacije s onim što znamo o šifrirani tekst zahvaljujući ECB modu, u mogućnosti smo odrediti broj zaporki s razumnim stupnjem sigurnost. Bilo je potrebno oko tri sata da se ovom metodom utvrdi koje su 100 najpopularnijih lozinki.
Neki će zaključiti da je ECB način očito Adobeov pad ovdje, ali stvarna je poanta da lozinke uopće nisu trebale biti šifrirane. Trebalo ih je raspršiti pomoću odgovarajuće funkcije raspršivanja zaporke. Međutim, zvuči kao da je Adobe u procesu ispravljanja ovoga, budući da navode da njihovo novo rješenje koristi više od tisuću iteracija slanog SHA-256.
Sa svoje strane, Adobe je rekao da je sustav provjere autentičnosti na koji je utjecala povreda stariji i da se treba povući.
Istaknuto
- Recenzija Apple Mac Studio M2 Ultra: Ovo je nova vrhunska Mac radna površina
- 4 stvari koje Claude AI može učiniti, a ChatGPT ne može
- Testiram stotine pametnih satova, ali ovaj mi je na ruci cijelu godinu
- Najbolji električni odvijači: obavite poslove "uradi sam" i popravke u pola vremena
"Više od godinu dana, Adobeov sustav za autentifikaciju kriptografski je hashirao korisničke lozinke koristeći algoritam SHA-256, uključujući usoljavanje lozinki i ponavljanje hash više od tisuću puta. Ovaj sustav nije bio predmet napada koji smo javno objavili 03.10.2013. Sustav za autentifikaciju uključen u napad bio je rezervni sustav i bio je određen za povlačenje iz upotrebe. Sustav uključen u napad koristio je Triple DES enkripciju za zaštitu svih pohranjenih podataka o lozinkama. Trenutačno nemamo naznaka neovlaštene aktivnosti na bilo kojem Adobe ID računu uključenom u incident", stoji u priopćenju.
Iz tvrtke nisu potvrdili niti demantirali je li ukupan iznos šifriranih lozinki, uključujući one za neaktivne račune, 130 milijuna.
"Još uvijek smo u procesu istraživanja broja neaktivnih, nevažećih i testnih računa uključenih u incident", rekli su iz tvrtke.
Nakon što je otkrivena povreda, kampanja čišćenja je u tijeku - a to nije lak zadatak, prema Gosneyju.
"Razgovarao sam s mnogo ljudi koji su rekli da su primili e-poruku s obavijesti o kršenju/poništavanju lozinke od Adobea, ali su mislili da je to e-poruka za krađu identiteta i ignorirali su je. Morao sam se malo nasmijati, jer smo uvjetovali korisnike da nikad ne kliknu na poveznice u neželjenoj e-pošti. Dobro je što ljudi počinju učiti o krađi identiteta, ali je nesreća što toliko ljudi ignorira ove e-poruke jer to znači da ne ažuriraju svoje lozinke. To nije toliko važno za njihov Adobe račun, budući da su već zaključali svačiji račun i tjeraju ljude da ponište svoje lozinke. Ali to je velika stvar za ljude koji ponovno koriste svoje lozinke na drugim web stranicama, posebno svoju e-poštu i bankovne račune," rekao je.
Daljnje čitanje
- Dobra lozinka još uvijek može nadmašiti nesigurnu sigurnost
- Razbijač lozinki uspješno rješava nizove od 55 znakova
- Sve vaše lozinke pripadaju nama