Практически все хэши украденных в различных взломах паролей, выложенные в августе на сайте HaveIbeenPwned, были успешно взломаны CynoSure Prime, группировкой “крактивистов”, то есть людей, занимающихся скоростным восстановлением оригинальных паролей из хэшей.  Сайт HaveIbeenPwned (“был ли я взломан”) собирает учетные данные, украденные хакерами с различных веб-сервисов и ставшие достоянием публики. Благодаря сайту, любой пользователь может узнать, “утекла” ли его учетная запись и принять меры по смене пароля. Публикация хэшей паролей владельцем сайта Троем Хантом преследовала благую цель – дать владельцам веб-сервисов расширенный “черный список” небезопасных паролей, ранее замеченных в утечках. При этом хэширование списка должно было защитить его от недобросовестного использования, то есть атак на чужие пароли.

Как показал опыт CynoSure Prime, хэширование может служить достаточно надежной защитой только при выполнении многочисленных дополнительных условий. Имея в своем распоряжении вычислительную систему с производительностью 180 Гигахэшей в секунду, крактивисты восстановили около 319 млн. паролей, хэшированных с помощью SHA-1, в том числе порядка миллиона паролей, хэшированных с помощью комбинации хэш-алгоритмов.

Как стало понятно из анализа полученной  базы данных, она недостаточно очищена от “посторонней” информации, например, в некоторых фрагментах встречаются не только пароли, но и имена пользователей, небольшие фрагменты HTML-кода и другие артефакты. Трой Хант и активисты совместно работают над очисткой базы HaveIbeenPwned от посторонней информации.

Среди найденных паролей, подавляющее большинство имеет длину 8 знаков и состоит из букв латиницы в нижнем регистре и цифр. Взлом базы хэшей не будет иметь значительных негативных последствий, поскольку, по словам Троя Ханта в интервью The Register, “эти данные уже утекли, они уже публичны”.


Сами активисты из группы CynoSure Prime заявляют об исследовательском характере своей деятельности. В своем блогпосте они указывают, что применение “черного списка паролей” из 320 миллионов записей может быть избыточным, поскольку пользователь, пытаясь придумать новый пароль для веб-сервиса, и получая все новые отказы вида “слишком простой и небезопасный пароль”, может быть раздражен и даже отчаяться. Обычно для подобных целей используется более короткий список из 10 тысяч самых распространенных паролей.

Категории: Кибероборона, Хакеры