Администратор ИБ
0,1
рейтинг
17 ноября 2013 в 07:29

Разработка → Кроссворд на основе украденной у Adobe базы паролей

Как известно, больше месяца назад компания Adobe сообщила о хакерской атаке на свои сервера, в результате которой была украдена база данных пользователей, включающая ФИО, зашифрованные пароли и номера банковских карт, а также исходники её главных продуктов. Изначально говорилось о 2.9 миллионах скомпрометированных учетных записей, но реальность оказалась намного страшнее.

Вскоре файл с 130 324 429 уникальными записями весом в 10GB был выложен в открытый доступ и любой желающий смог скачать и покопаться в нем.

image

Каждый зашифрованный пароль в дампе базы имеет длину 8, 16, 24, 32, 40 или 48 символов в шестнадцатеричной системе. Хотя Adobe заверяла, что данные надежно зашифрованы, при внимательном изучении базы паролей, оказалось, что использовался симметричный блочный шифр 3DES в режиме Electronic Code Book (ECB), при этом перед шифрованием к каждому паролю добавлялся ноль в конце (ASCII NUL).

image

Быстро был составлен Топ 100 самых популярных паролей в базе:



Использование вместо хеширования с солью, довольно древнего механизма симметричного шифрования с единственным ключом, для такой солидной компании кажется невиданно глупостью. Большой размер базы упрощает нахождение мастер-ключа, а тот кто его вычислит, сможет полностью расшифровать весь дамп. Данный эпикфейл Adobe уже породил несметное количество грустных шуток среди безопасников:

image

Вдохновившись комиксом xkcd, ребята сделали на основе 1000 наиболее популярных пользовательских паролей целый кроссворд :)



В качестве вопросов предлагается зашифрованный вариант, для ответа надо вписать пароль в plaitext. При клике в белом блоке отображается до 50 самых популярных подсказок для этого пароля. Нескучных выходных!
Александр @Akr0n
карма
89,7
рейтинг 0,1
Администратор ИБ
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (63)

  • +23
    Спасибо. Узнал, что AZERTY — раскладка клавиатуры, используемая как основная во Франции и Бельгии. Остальные пароли вобщем-то очевидны. Неясно только, что за одержимость принцессами и обезьянами у буржуе-человеков.
    • +2
      Видимо, со времён Кинг-конга ещё осталась :-)
  • 0
    Немного непонятно про расшифровку все равно. Если я правильно понял, то они просто брали искали повторы хешей, брали от них подсказки и сами угадывали что там скрыто (судя по изображению с кроссвордом)? Если они угадали что скрыто в хеше, то они могут восстановить ключ. В чем тогда проблема знаю ключ, восстановить остальные, почему было восстановлено только «большинство хешей»? Или я что-то упустил?
  • +30
    У меня идея для мобильного приложения!
    Взять топ-1000 паролей и использовать их для перебора в качестве пароля к видимым wi-fi.
    • +2
    • –4
      Не получится так просто, т.к. для вайфая обычно требуется пароль не мене 12-ти символов. В силу этого они будут очень сильно отличаться от стандартных 1000 самых распространенных (полагаю, ни одного 12-тисимвольного в числе топ-1000 нет).
      • +1
        Простите, это где «обычно»? Зависит от выбранной спецификации шифрования и может быть длиной 6+ символов.
        • –4
          Это, возможно совпадение, но в настройках при установке вайфая для 2х из 3х моих последних трех вайфай-роутеров (все три — разных производителей и типов прошивок) от меня требовали пароль не менее 12-ти символов. Текущий роутер хочет не менее 8-ми. Может быть, производители прошивок решили так позаботиться о юзверях?..
          • +3
            Повторюсь, зависит от выбранной спецификации шифрования. У них разные требования к длине.
  • НЛО прилетело и опубликовало эту надпись здесь
  • +1
    Хотите защитить своих пользователей, запретите им придумывать пароли самостоятельно.
    • +6
      Не поможет. Если после регистрации выслать пользователю на почту пароль вида xKFHd873fke, то первое, что он сделает после логина это сменит пароль на 123456. Остается только запретить смену пароля. Но это уже перебор.
      • +2
        запретить простые пароли и по длине и по словарю простых паролей.
        • +20
          И будет как в том баянчике:
          Заголовок
          «Вы не посещали свою страницу более 30 дней. Ваш пароль устарел. Создайте новый:»
          розы
          «Ошибка! Пароль слишком короткий. „
          красивые розы
          “Ошибка! Пароль должен содержать хотя бы одну цифру.»
          1 красивая роза
          «Ошибка! Нельзя использовать пробелы.»
          1красиваяроза
          «Ошибка! Вы должны использовать как минимум 10 разных символов.»
          1сранаякрасиваяроза
          «Ошибка! Вы должны использовать как минимум один заглавный символ.»
          1СРАНАЯкрасиваяроза
          «Ошибка! Вы не можете использовать более одного заглавного символа в слове.»
          1СранаяКрасиваяРоза
          «Ошибка! Длина пароля должна быть больше 20 символов.»
          1СранаяРозаПознакомитсяСтвоимЗадомЕслиЯнеПолучуДоступПрямоСейчас!
          «Ошибка! Нельзя использовать знаки пунктуации.»
          1СранаяРозаПознакомитсяСтвоимЗадомЕслиЯнеПолучуДоступПрямоСейчас
          «Ошибка! Данный пароль уже зарегистрирован.»

          Хотя на самом деле без введения требований к сложности пароля всё-таки не обойтись + неплохо бы там же на странице регистрации пропагандировать пару-тройку бесплатных программ для хранения паролей.
          • +1
            Я так придумывал пароль в эппл стор. В итоге у меня ругательный пароль про компанию эппл и в конце добавлена цифра и прописная буква.
            • +5
              С тех пор, как я перешёл на программы для хранения паролей, проблема «придумывания пароля» в принципе исчезла.
              Открываешь программу, нажимаешь создать новую запись — а там тебе любезно подставлен автоматически сгенерированный сложный пароль.

              Правда появились новые проблемы:

              1. Некоторые сайты зачем-то ограничивают длину пароля 8, 12, 16 или 20 символами. Зачем? Неужели они хранят его plain text'ом и на длине экономят место?

              2. Ну ладно, пусть даже ограничивают, но лишь иногда INPUT для ввода пароля на сайте не имеет ограничения на длину. Тогда сколь угодно длинный пароль, вставленный мной из буфера обмена, уйдёт целиком на сайт, там не пройдёт валидацию и мне ясно напишут «пароль слишком длинный».
              Но ведь бывает и так, что длина INPUT'а ограничена, я вставляю свой 32-символьный пасс, он незаметно обрезается до 12-20 (или сколько там) символов и потом я имею чудесную мозголомку на этапе логина: «ваш пароль не подходит».

              3. Ещё бывает, когда JavaScript'ом (в случае с сайтами) или в играх, где нужно логиниться, зачем-то отключают возможность вставки пароля из буфера обмена. Паразиты. Приходится вбивать все 32 сложные символа вручную.

              4. Ещё небольшая проблема с вбиванием длинных паролей на мобильных устройствах. Но она, в отличие от предыдущих, решается достаточно просто — (на Android это программа ClipSync), синхронизирующей буфер обмена на ПК и телефоне.
              • 0
                Честно говоря, первые три пункта вообще меня первое время шокировали. Первая возникающая мысль: «НАФИГА?!».

                Я даже писал в поддержку таких сайтов с вопросами. Писем двадцать уже суммарно где-то. Пока никто не ответил.

                Вот только 32 символа для меня — это скорее исключение, когда на сайте ограничение стоит. ^_^
              • +4
                Как вариант KeePass 2 + Keepass2Android + Dropbox для синхронизации.
                • 0
                  Там другая проблема — вводить длиннющий пароль от самой базы с паролями с планшета довольно неудобно.
                  • 0
                    QuickUnlock спасёт отца русской демократии!
                    Вы вводите мастер-пароль при запуске программы, блокируете базу и в следующий раз вводите только 3 последних символа пароля.
                    После обновления/полного выхода придется ввести пароль полностью, конечно.
                    • 0
                      Я так понял, это фишка Keepass2Android (работает с базами десктопного keepass 2.x). Я же работаю с KeePassX (работает с базами десктоп. keepasss 1.x).
                      • 0
                        К сожалению, да.
                        Однако, KeePass2 — кросплатформенный (Win, Linux).
          • +1
            Да, но в подавляющем большинстве эти требования вахтерские и не будут нести пользу.
            Как самый типичный пример, на большинстве сайтов пароль KfKhIPGlqUySdec будет считаться, увы, совершенно небезопасным. Видите ли там нет магической цифры, которая по мнению создателей сайта делает пароль значительно сильнее. И пофиг, что 99% просто добавляют 1 в этом случае.
        • 0
          Есть подозрение, что на этот случай у злоумышленников есть отдельная база самых распространенных паролей. К примеру, длина минимум 8 символов, обязательно использование цифр а также строчных и прописных букв. Скорее всего половина паролей будет 123456Aa, 123456Qw, Qwerty12 и так далее.
          • 0
            Как вариант, вообще запретить их сочетания и разрешить только после энного условия. Да и если так, то защищённость будет более.
      • +1
        Браузер, которым я пользуюсь, сам запоминает пароли. Достаточно один раз скопипастить и подтвердить на вопрос.
        Более того, скорее всего я попрошу KeyPass придумать мне абракадабру подлинее: этак символов 16-20. Все равно же не мне запоминать.
        • 0
          Что это за браузер? Сафари 7 делает это не для всех сайтов, для некоторых вообще отказывается.
          • +1
            некро-Opera 12.х,
            покойся с миром, дорогой друг, но ты еще послужишь.
      • 0
        Да, высылать пароль через почту, которая незашифрованной проходит несколько серверов — отличная идея в плане безопасности!
    • +6
      А зачем? По-моему достаточно просто, в случае выбора пользователем недостаточно надёжного пароля, предупредить его почему его пароль не надёжен и чем ему это может грозить, а дальше пусть решает сам.
    • +1
      Согласен! Я обычно запрещаю использовать пароли меньше 4 слов. :) ведь у каждого есть любимое четверостишье :)
      • +1
        И самый популярный пароль — «Я помню чудное мгновенье»?
        • +2
          Или например: Я из лесу вышел, 8ыл сильный мороз!
          • +13
            Сорок тысяч обезьян…
      • +1
        Села муха на варенье…
      • +2
        А зачем? Меня раздражают сайты, желающие от меня сложнейший навороченный пароль. Сейчас же каждый форум и каждый блог хочет видеть меня своим подписчиком и посетителем. Вот им мыло на 10minutemail и пароль 123456. Если я на этот сайт захожу в первый и в последний раз, мне достаточно будет 123456 или qwerty, что будет с моим акком на этом сайте через месяц, мне абсолютно по барабану.

        Сложные пароли у меня только на важных для меня ресурсах.
    • +9
      Раздражают штрафы за то, что «не пристёгнут в автомобиле». Быть дураком — личный выбор каждого. Право на ошибку позволяет не пропустить плохие гены в генофонд грядущих поколений.
      Я хочу иметь право иметь плохие пароли. Это мой личный выбор. Пароль «123» на сайтах, на которые мне наплевать для меня предпочтительнее, чем регистрация на них со сложным паролем… Почему все хотят думать за меня?
      • –2
        Почему из-за вас должны страдать страховщики, потенциальные иждивенцы, государственная казна и т.д?
        • 0
          Вы правы, не должны. Но я за право человека на самоубийство. На ошибки и на жизнь. То что современные социальные системы не могут позволить этого людям проблема несовершенства систем, но не моя и не ваша.
          • 0
            К счастью государство в курсе подобной горячности юных и (в отличие от самих юных) в курсе что со временем это проходит.
            • 0
              В каком именно возрасте, по вашему, человек начинает хотеть, чтобы решения о его жизни принимали за него?
              • 0
                После 35 начинаешь хотеть принимать решения за других :-) Я тут был на семинаре для тех, кто получил штрафной пункт в первые два года обладания правами. Они рассказывали свои истории. Ужас Ужас Ужас!
          • 0
            Это не обязательно проблема несовершенства систем, это может быть философский выбор поддерживаемый системой. Выбор неоотограемых прав, неооторгаемых даже при желании индивида (первые 8 минут). Такая вот идея.
      • +1
        Тем, кто забыл, можно напомнить про bugmenot.com/
  • +1
    Ответы
    1
    adobeadobe

    2
    password1

    3
    dreamweaver

    4
    chocolate

    5
    asdfgh

    6
    shadow

    7
    asdasd

    8
    jordan

    9
    macromedia

    10
    letmein

    11
    test
    • +5
      Там же кнопочка есть «Reveal» :)
      • +11
        Вот блин, а я сидел и разгадывал.
        • +1
          Я уже на третьем, без «Reveal».
          Коллега уже успела пройти все =)
          • 0
            Напомнило игру 100 к 1, только наоборот.
  • +2
    На самом деле эти ТОП-100 паролей покрывают всего около 5% базы, а топ-1000, судя по тенденции — 6-7%. Не так уж все и плохо. А с учетом пользовательской аудитории adobe — так это вообще прекрасный показатель.
  • 0
    Да… Adobe — та еще шарашка… Кто пытался более-менее профессионально работать с их продуктами — поймёт, почему её пользователи обычно ругаются похлеще сапожников.
    • +1
      Я работаю профессионально с продуктами Adobe уже 15 лет. Нареканий почти нет. ЧЯДНТ?
      • +1
        Не знаю, может как-то связано с вашим родом деятельности, либо со спецификой работы…

        Когда нам понадобился тримминг проектов в Premiere — обнаружился баг, при котором MXF триммятся/не-триммятся в зависимости от фаз луны. Пробовали на многих разных компьютерах и многих системах, и многих версиях премьера — пока не нашли волшебное сочетание плясок с бубном при котором _может быть_ удастся заставить Premiere CS6 триммить (к слову — CC так и не смогли заставить триммить ни на одной машине).

        Или например Adobe Media Encoder, который тупо обрезал видео дальше середины, держа один кадр до конца, если изменяешь Frame Rate исходной сиквенции в Interpret опциях. Этот баг висел год, начиная с CS5.5 по-моему. Пофиксили только неделю назад, в ноябре этого года. Но так и остался висеть другой баг, когда Media Encoder тупо пропускает пару начальных кадров вышеупомянутых обрезанных MXF, при перекодировке.

        Или загрузка обрезанных премьером MXFок в AE — глючит первая секунда. В том же нюке глючат только первые два кадра, где отсутсвует ключевой кадр.
        Или отсутствие нормальной поддержки таймкода в Premiere (он тупо его игнорирует при реплейсе других файлов, а вставляет их с начала).

        Либо фотошоп, который превращает 32-битный EXR в 16битный, стоит только изменить Image Size (например — тупо отскейлить в два раза). Всё. На выходе имеем урезанный 16-бит…

        Либо иллюстратор, который не умеет экспортировать векторы большого формата в растр при включенной опции Optimize for Art (на CC с последними обновлениями правда еще не пробовал).

        В целом интерфейс связок AE/Premiere/Photoshop/Illustrator — отличается в корне, хотя продукт вроде бы от одной компани. В шопе размер текста можно изменить потянув за букву T, в АЕ — нельзя, только за сами цифры, и т.п. — т.е. какие-то общие мелочи, которые везде есть — но работают по-разному.

        И т.п. и т.д… сейчас уже всех плясок с бубнами не вспомню. Но как только дело касается каких-то сложных задач, отличных от копи-паста и намалевать там-сям кисточкой — сразу всплывает куча багов.

        В целом складывается такое ощущение, что последние пару лет продукты тупо отданы разным индусским командам на аутсорс, причем команды друг с другом никак не связаны, а пытаются связать результаты работы уже в америках, кое-как и с костылями.

        И давно все уже ждут какой-то революции, а Adobe каждый год добавляет пару фишек, исправляют пару багов (ДАЖЕ НЕ ВСЕ НАЙДЕННЫЕ!). Хотя давно уже можно было внедрить в том же фотошопе недеструктивную систему (но только не эти смарт-слои, Боже упаси), нодовую систему со связкой разных слоёв, и т.п. идеи. Но это будет не раньше чем через лет 10-15.
        • –1
          Да, у меня другая специфика. Что касается интерфейса — это да, это то, из-за чего я написал «почти нет». Например, в ИнДизайне я могу повесить тулы на Ф-клавиши, а в Фотошопе нет.
          Векторы большого формата пробовали не экспортить иллом, а импортить шопом?
  • +1
    Если кому-то интересно, всю базу можно найти в интернете. Файл называется users.tar.gz, весит 3,8 Гб. Есть зеркала с названием файла Base_users_adobe.com.tar.gz
    В распакованном виде представляет собой текстовый файл размером 9,2 Гб (130 млн. записей)
  • +1
    К черту пароли, мне нужны исходники флеш-плеера!

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.