Artikkel

«Hackerangrep» i VG er gammelt nytt

Faksimile fra dagens VG
Faksimile fra dagens VG

«Hackerangrep» i VG er gammelt nytt

Media er om dagen full av nyheter om «digitale» trusler mot vår sikkerhet og vårt demokrati. Førstesiden i dagens VG forteller med krigstyper at våre politikere er «hacket», og samme sak er på topp i nettutgaven: «VG avslører: Politikere rammet av hackerangrep». Er dette kampanjejournalistikk fordi VG ønsker seg et «digitalt grenseforsvar»?

Passord-salting

At passordene er saltet betyr at de er tillagt et tilfeldig «salt» før det blir beregnet et passordavtrykk. Dersom man ikke salter før passordavtrykket beregnes, vil to like passord også se like ut etter at man har beregnet avtrykkene, og de blir dermed mye enklere å knekke. Men to like passord som får tilsatt et tilfeldig salt, vil derimot være ulike etter beregning av avtrykk, og hvert enkelt avtrykk må derfor knekkes individuelt.

Effekten er at det vil kreve svært mye mer datakraft og ta mye lenger tid (flere hundre år dersom man benytter riktig algoritme) å få tak i et eneste passord, selv om man har tilgang til en stor database med stjålne passordavtrykk.

Nyheter er dette uansett ikke. Det VG bygger oppslaget sitt på er en database over 2 milliarder passord som kan blant annet kan finnes via nettstedet ';--have i been pwned? og som ble omtalt en passant i herværende blogg i oktober i fjor.

I november i fjor ble jeg dessuten intervjuet om denne databasen av ABC-nyheter, og jeg siterer like godt meg selv:

– Passordene later til å stamme fra ymse datainnbrudd rundt om i verden der passord-databaser har blitt stjålet. Estimater tilsier at på verdensbasis er omkring 2 milliarder passord på avveie som stammer fra slike innbrudd og siden dette i første rekke handler om internasjonale nettsider (Adobe, Dropbox, LinkedIn, MySpace, Tumblr, Yahoo) rammes nettbrukere i alle land likt, forteller Hannemyr.

Han påpeker imidlertid at selv om listen over passord har blitt stjålet fra nettsteder, betyr ikke det nødvendigvis at passordene er kompromittert.

– Noen av de stjålne passord-databasene består av saltede passordavtrykk - noe som vanskeliggjør arbeidet med å finne passordet, mens andre (som f.eks. Adobe) inneholdt krypterte passord som er trivielle å knekke, forklarer Hannemyr.

Men Hannemyr understreker:

– Har man en Adobe-konto og har ikke endret passordet siden oktober 2013 bør man endre det umiddelbart - og det samme gjelder dersom man bruker samme passordet på Adobe-kontoen og andre kontoer.

Jeg har selv konto på flere av de nettstedene som er blitt kompromittert (og kan derfor finnes i databasen til ';--have i been pwned? om noen skulle ta seg bryet med å sjekke), men så vidt jeg vet var det kun eBay og Adobe som benyttet krypterte passord (og dermed er hackbare.) De øvrige har forskriftsmessig benyttet saltede passordavtrykk. Selv om avtrykket er på avveie, er det da svært vanskelig å finne fram til passordet det er et avtrykk av.

Kategori: 

Add new comment

Credentials (your e-mail address will not be shown publicly)