Analýzy hrozeb

Analýza: Uživatelé seznamky Ashley Madison používali velmi slabá hesla

Avast Security Blogger, 13. září 2015

Analýza: Uživatelé seznamky Ashley Madison používali velmi slabá hesla

Lidé vytváří příšerná hesla. Ačkoliv to může znít jednoduše, pro miliony – ne-li miliardy – lidí, kteří používají internet, je to stále novinkou. Na důkaz tohoto tvrzení jsme se rozhodli blíže podívat na strukturu hesel, které byly nedávno odhaleny při rozsáhlém úniku dat z on-line seznamky Ashley Madison, o kterém jsme vás již informovali.

Foto prostřednictvím The Times, UK Foto prostřednictvím The Times, UK

Bez ohledu na všechny bezpečnostní nedostatky, kterými seznamka Ashley Madison trpěla, jednu věc, k překvapení mnoha bezpečnostních výzkumníků a zklamání hackerů, měla vyřešenou správně. Tou věcí je právě šifrování hesel svých uživatelů.

Únik dat obsahoval databázi přibližně 36 milionů uživatelských jmen s hesly, které byly šifrovány nevratným šifrovacím algoritmem bcrypt. V současné době tak neexistuje způsob, jak všechna tato hesla prolomit, jelikož některá z nich jsou čistě náhodná. Nicméně nic nám nebrání podívat se alespoň na ty nejhorší z nich. A věřte, že to stojí za to!

Web je plný seznamů hesel, které si dnes může kdokoliv snadno stáhnout. Pro tuto analýzu jsme zvolili dva takové seznamy, které jsou veřejně dostupné. Jedná se o 500 nejhorších hesel všech dob (sestavený v roce 2008) a 14 milionů silných hesel z dat uniklých ze sociální aplikace RockYou.

Trhlina algoritmu bcrypt

Je třeba poznamenat, že jsme v analýze nepracovali s kompletním listem 36 milionů hesel, pracovali jsme pouze s prvním milionem. Z toho důvodu je možné určité zkreslení výsledků této studie ve prospěch hesel vytvořených blíže začátku existence tohoto seznamovacího portálu než jeho konci. Detailnější informace k analýze naleznete v našem anglickém příspěvku.

Všechny tyto algoritmy použijí vstupní heslo a z něj vytvoří šifrovaný výstup – tzv. hash. Hashe jsou uloženy v databázi společně s e-mailem a ID uživatele.

V naší analýze anglických hesel jsme dospěli k následujícím zjištěním:

• hesla "123456" a "password" s přehledem vítězí jako dvě nejhorší a bohužel také nejvíce používaná hesla. Na paty jim dále šlapou "12345678" a "QWERTY".

• heslo "pussy" je kupodivu používané přibližně stejně na webové stránce propagující manželskou nevěru jako kdekoli jinde na webu.

• heslo "helpme" je naopak bez většího překvapení heslem běžnějším.

• za heslem "blowjob" se pravděpodobně skrývá očekávání mnoha uživatelů spojené se zřízením členství na této stránce.

• Zdá se, že poměrně častými hesly jsou i ženská jména a jejich přezdívky. Z nějakého záhadného důvodu pak zejména i „Ashley“ a „Madison“ ;).

Níže uvádíme seznam TOP 20 hesel, které jsme dešifrovali (zapsané ve formátu „pořadí: četnost výskytu hesla a heslo samotné)“:

1: 6495 123456

2: 3268 password

3: 2024 12345

4: 880 12345678

5: 768 qwerty

6: 453 pussy

7: 248 secret

8: 209 dragon

9: 201 welcome

10: 198 ginger

11: 173 sparky

12: 168 helpme

13: 164 blowjob

14: 152 nicole

15: 134 justin

16: 129 camaro

17: 120 johnson

18: 117 yamaha

19: 113 midnight

20: 103 chris

Je důležité si uvědomit, že toto pořadí NENÍ pořadím založeným na všech heslech využívaných uživateli seznamky Ashley Madison. Jedná se pouze o pořadí dosud dešifrovaných hesel z podmnožiny 1 milionu uživatelů stránky, kdy se může jednat o první (nejstarší) milion uživatelů.

Neexistuje žádná omluva pro používání hesel s bezpečnostní úrovní blížící se nule. Tento fakt je o to významnější, pokud si uvědomíme, že je to právě používání inteligentních a silných hesel, které hraje klíčovou roli při ochraně před různými podvodnými útoky ze strany nejrůznějších hackerů. I když byl použit jeden z nejsilnějších dostupných šifrovacích algoritmů, tak bylo triviální získat seznam slabých hesel pomocí otestování známých hesel oproti seznamu hashů.

Všichni, kteří využíváme internet, bychom měli volit silná hesla. Sami jsme zodpovědní za naši bezpečnost a na internetu nelze věřit z tohoto hlediska nikomu. Zvláště pak ne společnosti, jejímž posláním je podporovat podvádění a nevěru.

Pokud jste si vytvořili účet na seznamce Ashley Madison před datem 15. července 2015, pak hash na internet rozhodně unikl a heslo (zejména pokud bylo slabé) mohlo být dešifrované nejen námi v rámci této studie, ale i subjekty s ne tak dobrými úmysly. Pokud jste tak ještě neučinili, doporučujeme si vaše heslo ihned změnit, a to i kdybyste jej považovali za dostatečně silné. Zde je k dispozici užitečný návod, jak si vytvořit silné heslo. Kromě toho doporučujeme používat Password Manager, který vám pomůže vytvořit jedno silné heslo, které je potřeba si zapamatovat;následně pak lze v ostatních případech používat náhodně generovaná hesla.

Buďte chytří a zabezpečte sebe i své osobní údaje!

Sledujte Avast na sociálních sítích Facebook, Twitter, Google+ a Instagram, kde vás denně informujeme o aktuálních novinkách ze světa kyber-bezpečnosti.