USD 92.59 ЕВРО 100.27

Насколько слабы 100 самых популярных паролей к взломанным аккаунтам Adobe?

Экономика

Подсказка: очень. От слова «совсем».

Слабые паролиАнализ похищенных паролей пользователей сервисов Adobe в истекшем месяце показывает, что люди не любят сложностей, если речь идёт о паролях.

Хорошо известно,, что люди любят легко запоминаемые пароли. Благодаря работе экспертов по безопасности теперь известно, что пользователи Adobe любят не просто запоминаемые пароли, но и максимально ужасные.

Как мы уже сообщали ранее, в октябре были похищены пароли к 38 миллионам пользовательских аккаунтов. Но 38 миллионов — только активных пользователей. В руки хакеров вместе с паролями и исходниками некоторых продуктов Adobe попал и файл содержащий 130 миллионов пользовательских паролей. Хакеры опубликовали его.

И хотя компания ранее сообщала, что пароли хранятся в зашифрованном виде, эксперту по безопасности компании Stricture Consulting Group Джереми Госни не составило труда выявить наиболее распространённые пароли и опубликовать их в эти выходные. Как он извлёк их — описано ниже.

Самым популярным паролём оказался «123456». Ничего удивительного, это соответствует наиболее популярному паролю прошлогодней утечки паролей Yahoo!

Впрочем, менее популярные пароли оригинальностью также не блещут. Второй по популярности пароль — «123456789» (446 162 аккаунта), за ним — «password» (345 843 аккаунта), «adobe123» (211659 аккаунтов), а далее — любимые массами «12345678» (201580 аккаунтов), «qwerty», «1234567», «111111», «photoshop» и «123123».

Госни отмечает, что поскольку он сам не владеет ключом Adobe, используемым для шифрования паролей, а компания до сих пор блокирует доступ к своим сервисам, пока пользователи не обновят свои пароли, – невозможно сказать определённо, что список точен, но о точности можно говорить достаточно уверенно.

Госни подтверждает, что источником для его выводов послужил файл, содержащий пароли и выложенный на Anonnews на прошлой неделе. Как это стало возможным? А вот как.

Все похищенные пароли были зашифрованы одним и тем же ключом. Без этого ключа нельзя взломать ни единого пароля. Но если у нас есть ключ — мы получаем все пароли разом. Никто не пытался «вскрыть» какой-то отдельный пароль, взлому подвергался ключ шифрования.

Adobe шифровала пароли с помощью 3DES в режиме ECB. Сам по себе это неплохой шифр, зависящий от того, какие опции шифрования используются. Но режим ECB воистину плох, потому что не может скрыть информацию о том, чем именно проводилось шифрование. В основном этот режим работает, разделяя данные на блоки, а затем шифрует каждый блок индивидуально. А это значит, что один и тот же текстовый блок всегда превращается в одинг и тот же же шифро-блок, если применялся тот же самый ключ.

Анализ паттернов шифрованного текста с помощью известных сопоставлений прямого и шифрованного текста позволяет вам узнать информацию о зашифрованных данных. В данном случае у нас есть много известных нам соответствий прямого и шифрованного текста, поскольку пострадало много пользователей.

100 наиболее распространённых и опубликованных паролей были вычислены с помощью анализа «вручную» шифрованного текста, в комбинации с анализом пользовательских подсказок для каждого пароля. Это позволило сделать достаточно обоснованные предположения о содержаниии пароля, но не наверняка — поскольку ключ шифрования ещё не был вскрыт.

Подсказки к восстановлению пароля оказались наиболее полезными в процессе взлома. Ошеломляющее количество пользователей поняло идею подсказки максимально буквально, выложив сам пароль в качестве такой подсказки. И всего 3 часа ушло на то, чтобы определить эти пароли с достаточной степенью уверенности.

Кто-то сделает вывод: режим ECB – главная промашка Adobe в этом вопросе, но на самом деле проблема лежит в другой плоскости. Пароли не должны шифроваться в первую очередь. Вначале они должны быть хэшированы с помощью правильной функции хэширования паролей. По слухам, теперь Adobe занимается именно этим вопросом, однако есть и другая информация: теперь они переходят на применение SHA-256.

«Многие пользователи Adobe, получив по электронной почте уведомление о необходимости сброса пароля, решили, что это фишинговое письмо и попросту проигнорировали его. Всё правильно: людей годами приучали не кликать на ссылки в недоверенных письмах, и хорошо, что люди уже знают, что такое фишинг. Но результатом этого остаются невалидные пароли. Это не имеет значения для их аккаунтов на серверах Adobe, они всё равно пока заблокированы до ресета паролей. Но это критически важно для тех, кто использует одинаковые пароли на ралзичных сайтах, особенно если речь идёт о почтовых ящиках или банках», – добавляет Госни.
Примечание. Facebook анализирует украденные у Adobe данные в отношении повторно используемых паролей, предлагая пользователям изменить их или исчезнуть