Video: Adobe's 153 Million Password Leak (Oktober 2024)
Noe av det frustrerende ved informasjonssikkerhet er det faktum at selv om vi gjentatte ganger ber brukerne velge sterke og sammensatte passord, gjør de det ikke. Til tross for at jeg vet det, er det fremdeles urovekkende at selv med økningen i datainnbrudd, hyppige advarsler og påminnelser, og mengden med tilgjengelige passordbehandlere, fremdeles viser passord som '123456, ' 'iloveyou, ' og 'ape' seg i topp 100 mest brukte passord.
Forrige måned avslørte Adobe at angripere hadde tilgang til passord for aktive Adobe-brukere, så vel som kildekoden for produkter som Cold Fusion. Angriperne publiserte også en fil som inneholder nærmere 150 millioner krypterte passord.
Nesten to millioner Adobe-brukere hadde '123456' som passord, fant Jeremi Gosney, en sikkerhetsekspert og grunnlegger av Stricture Consulting Group. Han analyserte listen og identifiserte de mest brukte passordene i løpet av helgen. Analysen hans dekket rundt seks millioner passord, eller mindre enn 5 prosent av den utsatte listen.
"Andre populære passord inkluderer '123456789, ' 'passord, ' 'adobe123, ' '12345678, ' 'qwerty, ' '1234567, ' '111111, ' 'photoshop, ' og '123123, '" sa Gosney.
Ikke bra nok kryptering
Mens Adobe hadde kryptert passordene, ser det ut til at selskapet brukte en enkelt krypteringsnøkkel for alle passord. Adobe krypterte passord ved å bruke 3DES, noe som er bra, men i ECB (Electronic Code Book) -modus, som er en mindre sikker mekanisme. ECB er kjent for å lekker informasjon om nøkkelen, for eksempel å generere den samme chiffertekstblokken for en spesifikk streng med tegn.
Dette betyr at hvis noen kan finne ut nøkkelen, kan alle passordene dekrypteres.
Gosney har ikke nøkkelen som brukes til å kryptere passordene, så det er umulig å si at listen er helt nøyaktig. Likevel sa han at han var "ganske trygg" på listen.
Ikke overraskende
Det er verdt å merke seg at analysen av utsatte passord fra tidligere brudd, som Yahoo, Gawker og andre, hadde lignende resultater. Det er tydelig at de vanlige passordene er ganske konsistente blant online brukere. Det er litt hjertelig å vurdere at disse usikre passordene utgjør under 5 prosent. Men to millioner kontoer som bruker det samme passordet er dårlige nyheter uansett hvordan du ser på det.
Topp 5-listen fra Gawker, for tre år siden, inkluderte '123456, ' 'passord, ' '12345678, ' 'lifehack, ' og 'qwerty.'
Hva du skal gjøre nå
Hvis du ennå ikke har endret Adobe-passordet ditt, kan du gjøre det nå og sørge for å velge et sterkt, unikt passord. Ikke bruk et passord som finnes i Gosneys liste. Faktisk, hvorfor ser du ikke gjennom topp 100 og sørger for at du ikke bruker noen av dem til noen online konto eller tjeneste?
Enda bedre, bruk denne listen som drivkraft for endelig å bytte til en passordbehandling, for eksempel LastPass eller Dashlane.
