Crackningen av Adobe tidigare i höst har nu visat sig inte omfatta 3 miljoner Adobekunders e-postadresser och lösenord. I själva verket har crackarna kommit över 38 153 miljoner kunders e-postadresser och lösenord, inklusive password hint däribland enligt uppgift en svensk riksdagsperson med e-post till riksdagen.se, och som använde “riksdagslosen” som ledtråd. Personen har alltså samma lösenord hos Adobe som till riksdagen.
Lämpligen tar du som är denna riksdagsperson och byter ditt lösenord till riksdagen. Omgående.
Notera att riksdagsperson inte behöver vara en folkvald.
Även om lösenorden är krypterade och krypteringen åtminstone inte är standard MD5 eller sha1, där det finns omfattande databaser att köra de krypterade lösenorden mot, utan krypterade med 3DES, så är det antagligen bara en tidsfråga till någon knäcker det hela. 3DES är symmetrisk och samtliga lösenord är därmed möjliga att avkryptera om man har nyckeln. Genom lösenordledtrådarna bör man kunna få fram nyckeln (nycklarna – inte säkert att samtliga lösenord använder samma nyckel, nyckeln kan rent av vara en unik kombination av e-post och lösenord i sig och unik för varje lagrat lösenord, så länge den kan härledas ur användarens inloggningsförsök) och därmed avkryptera 153 miljoner lösenord. Om nu inte hackarna även kom över nyckeln redan från början, vilket inte är helt osannolikt.
Generellt är det mycket olämpligt att använda samma lösenord på olika tjänster, speciellt som man ofta också har exempelvis samma e-postadress som inloggning.
Återger dagens XKCD, som kommenterar dessa lösenordsledtrådar som följer. Många lösenordsledtrådar är relativt lätthackade.
Källa: XKCD Licens: Creative Commons Attribution-NonCommercial 2.5 License. |
Den som tror sig vara kund till Adobe, kan söka efter sin e-postadress här och se om vederbörande omfattas av läckan, samt lösenordsledtråden. Det går förstås därmed även att se andra specifika e-postadressers lösenordsledtrådar. Det går även att söka på domännamn istället för specifik e-postadress, men den sökningen returnerar bara första svaret. Huruvida det är lämpligt att gå in på en anonym websajt och ange sin e-postadress lämnas som en övning till läsaren. Annars kan man alltid leta upp och ladda ner hela lösenordsfilen om man föredrar det.
Som man kan se i XKCD-exemplet kan man få fina sk cribs utifrån lösenordsledtrådarna, som t ex en av Jesus tolv apostlar. Därmed kan det bli möjligt att få fram krypteringsnyckeln genom att köra det krypterade lösenordet mot någon av de tolv apostlarna. På rätt språk, förstås.
4 kommentarer
"Generellt är det mycket olämpligt att använda samma lösenord på olika tjänster, speciellt som man ofta också har exempelvis samma e-postadress som inloggning."
Å andra sidan beror det väl lite på vad det är för tjänst. Endel tjänster är ju bara junktjänster och ifall dessa skulle crackas så bör ju skadan vara minimal. Det är ganska givet att man rimligen inte kan komma ihåg starka lösenord till var och vartannat system som man har tillgång till ändå.
Lämnar man ut e-mailaddress till folk man inte bör lita på så får man räkna med att man får mail från folk man inte vill ha mail ifrån, men skadan är nog inte mycket värre än så (såvida man inte är dum nog att öppna program och liknande dumheter som kommer med mailen).
Är väl arga Linuxanvändare som är utestängda från Creative Cloud som tagit ut hämnd.
Jag brukar fylla i vilseledanden information i sånadär lösenordsledtrådar 🙂
Gissningsvis inte någon digital inföding som klantat sig så här.