Das Hacker-Kollektiv CynoSure Prime hat mit dem Ziel, Firmen und User vor unsicheren Hashingverfahren zu warnen, über 300 Millionen Passwörter geknackt.

DATENSATZ GEKNACKT

Zur Verdeutlichung wie unsicher veraltete Hashingverfahren tatsächlich sind, wurde ein Datensatz von Troy Hunt, der auf seiner Webseite Have I Been Pwned letzten Monat einen Passwort-Prüfdienst hinzugefügt hatte. Über 300 Millionen Passwörter in dem Datensatz waren mit dem Hashverfahren SHA-1 oder dem ebenfalls veralteten MD5 „verschlüsselt“. Dieses Verfahren gelten beide schon länger als „broken“ und überholt, sind aber immer noch bei einigen Diensten im Einsatz.

ERFOLG MIT BRUTE FORCE

Die Hacker haben die Passwörter unter dabei einfach mit leicht erhältlichen Tools wie hashcat und MDXfind geknackt. Diese funktionieren unter anderem mit wahrscheinlichkeitsbasierten Verfahren wie der Markov-Kette oder Dictionary-Attacken kombiniert mit „brute force“ Rechenkraft.
Eigenen Angaben zufolge hat CynoSure Prime Cluster unter anderem bestehend aus Computern mit Intel Core i7-6700K, vier GeForce GTX 1080 und 64 GByte RAM zum Knacken genutzt. Von den über 300 Millionen SHA-1-Hashes haben sie eigenen Angaben zufolge lediglich 116 nicht geknackt.

WAS KANN MAN BESSER MACHEN?

Um solche einfachen aber erfolgreichen Angriffe zu verhindern, müssen Webseitenbetreiber ihre Seiten mit Verfahren wie brcrypt oder PBKDF2 speichern. Diese sind absichtlich so konzipiert, dass ein Passwort-Test möglichst viel Ressourcen benötigt. Dies geschieht z. B. indem sie viele Iterationen über Hash-Operationen durchführen. Auch sollte man serverseitig Bremsen einbauen, um so Brute-Force-Attacken auf Anmeldeformulare vorzubeugen. Die einfachste Möglichkeit dazu besteht darin, die Zahl der möglichen Login-Versuche innerhalb eines bestimmten Zeitraums pro IP-Adresse zu beschränken.