via nu.nl:
AMSTERDAM - Een onderzoeker van de Universiteit van Cambridge heeft via Google het wachtwoord achterhaald dat een hacker had misbruikt om in te breken op zijn weblog.
De website van deze onderzoeker(Light the Blue Touchpaper) wordt aangedreven door dezelfde blogsoftware als dit techblog namelijk Wordpress, dat de wachtwoorden van gebruikers versleutelt met het MD5-algoritme.
Nadat zijn website gehacked was wilde de onderzoeken weten welk wachtwoord de hacker had gebruikt. Hij wist dat de aanvaller een account had aangemaakt in Wordpress, de bekende publicatiesoftware waar het universitaire weblog gebruik van maakt.
Via zdnet.nl:
De MD5-code van het wachtwoord van de aanvaller was 20f1aeb7819d7858684c898d1e98c1bb. Het is erg lastig om, met enkel zo’n hashwaarde als uitgangspunt, het oorspronkelijke wachtwoord te achterhalen. Je zou dan alle mogelijke inputs moeten uitproberen. Dacht men. Want Murdoch heeft gewoon de MD5-code van het wachtwoord van de aanvaller ingevoerd in Google. De zoekmachine vond meerdere webpagina’s met hetzelfde woord: Anthony.
De gevonden pagina’s hadden steeds 20f1aeb7819d7858684c898d1e98c1bb in de URL staan, vandaar dat Google ze opdiste. Murdoch is daar niet verbaasd over: “Ik heb zelfs code geschreven die hetzelfde doet.” Het is volgens hem soms namelijk handig om bestanden automatisch op te slaan met een MD5-code als bestandsnaam.
Hiermee heeft Murdoch aangetoond dat Google ook wachtwoord-hashes indexeert. Ruwe MD5-hashes, dus zonder verdere versleuteling (salting), zijn daarmee minder veilig. Als reactie op Murdochs blogpost heeft een lezer een applicatie geschreven waarin gebruikers hun wachtwoord kunnen invoeren om te zien of Google de bijbehorende MD5-hashcode kent.
Om een lang verhaal kort te maken, ook al versleutel je wachtwoord nog zo goed (MD5). Als het een makkelijk wachtwoord is is deze alsnog makkelijk te achterhalen dankzij google en http://md5.rednoize.com/.
0 Responses to “Onderzoeker vindt wachtwoord via Google”