78 000 suomalaisen salasanat kräkätty

[Mara]

Samaa tuli kokeiltua itsekkin. Ei päässyt rakkausruno forumille =) Onneksi on suunnilleen tiedossa tuon hashauksen periaate, että ei tosiaankaan kannata pitää mitään selkeäsanaista salasanaa. Tulee liian spooky olo tästä kun tällähetkellä ei puoli nettiä tunnu toimivan. Onko ne ruotsalaiset menny hakkeroimaan puolet nimipalvelimista vai mitä helvataa. Noh, onneksi pakkis toimii.

 

[Penska]

Eip ollu omia tietoja tuolla, mutta kaikesta huolimatta on menny jotenkin ohitse, kun tänä päivänä olen lukenut tästä jutusta. Ihmiset tuntuu olevan aika huolissaan, jostain ite aattelin vaan, että jaa-as :D. Sitä paitsi sitähä näytetään sanovan täällä, ettei salasanoilla suoraan pääsee mihinkään.

 

[elasto]

Jaa miten kirjautua ja millä? Eikai noi passuja tohon laita kun yleisesti meni levitykseen, siitä vois jo ongelmia seuratakkin :D

No eikös noi kaikki salasanat ole tossa käyttäjätunnuksen ja sähköpostiosotteen välissä tosin vaan heksadesimaaleina? Joten siitä vaan kääntelemään niin oikeat salasanat tulee esille.

 

[Hullupaviaani]

Noh, aika moni käyttää samaa salasanaa joka paikassa. Maileissakin.

Edit: Jos teillä siis on salasanat pelkästään aakkosmuodossa, ilman numeroita, niin vaihtakaa ihmeessä! On suorastaan naurettavan helppoa (testattu on) murtaa sellainen passu hash-koodin avulla.
Eli passut muotoon: Sal4saN4. Vaatii jo himpun verran enempi aikaa sen murtamiseen.

Onko tosiaan 10 merkin lisäämisellä nuin suuri vaikutus? Ilman numeroita merkkejähän on käytössä 2*26=52 ja numeroiden kanssa 62. Ei vaikuta kovin suurelta erolta. Vai onko tuossa takana jotain muuta?

Väite: Jos salasanoista jätettäisiin tietoisesti pois merkit (abcdeABCDE) ja myös salasanan purkuohjelma tietäisi tämän. Olisiko tällainen salasana yhtä helppo murtaa kuin nykyään salasana jossa ei ole numeroita mukana? Kummassakihan olisi saman verran merkkivaihtoehtoja.


Onko väliä miten numerot sijaitsevat salasanassa? Eli 1e2r3TTt ja 123erTTt ovat yhtä vaikeita murtaa? Vai onko ensimmäinen vaikeampi murtaa?

 

[laugher]

Onko tosiaan 10 merkin lisäämisellä nuin suuri vaikutus? Ilman numeroita merkkejähän on käytössä 2*26=52 ja numeroiden kanssa 62. Ei vaikuta kovin suurelta erolta. Vai onko tuossa takana jotain muuta?

Väite: Jos salasanoista jätettäisiin tietoisesti pois merkit (abcdeABCDE) ja myös salasanan purkuohjelma tietäisi tämän. Olisiko tällainen salasana yhtä helppo murtaa kuin nykyään salasana jossa ei ole numeroita mukana? Kummassakihan olisi saman verran merkkivaihtoehtoja.

Onko väliä miten numerot sijaitsevat salasanassa? Eli 1e2r3TTt ja 123erTTt ovat yhtä vaikeita murtaa? Vai onko ensimmäinen vaikeampi murtaa?

Kyllä sillä on väliä. Jos oletetaan että salasana on vaikkapa 5 merkin pituinen niin 10 uuden merkin lisäys vaikuttaa seuraavalla tavalla:

a)Aakkoset, 52^5 = 380 204 302
b)Aakkoset + numerot, 62^5 = 916 132 832

Huomaat että vaihtoehtojen määrä melkein kolminkertaistuu.

Ei ole mitään väliä mistä merkeistä salasana koostuu jos vaihtoehtoja on yhtä paljon. Matemaattisesti sillä ei ole väliä miten missä jonossa merkit ovat, mutta ohjelmalla joka salasanaa murtaa voi olla prioriteetteja, kuten esimerkiksi että ensin kokeillaan käyttäjätunnus, sitten käyttäjätunnus123 jne.

PS. Kenenkään muun tunnuksia ei kannata kokeilla ellei halua lakia rikkoa ja kärsiä mahdollisia seurauksia. RL 38luku § 8

 

[Papukaija]

Onko tosiaan 10 merkin lisäämisellä nuin suuri vaikutus? Ilman numeroita merkkejähän on käytössä 2*26=52 ja numeroiden kanssa 62. Ei vaikuta kovin suurelta erolta. Vai onko tuossa takana jotain muuta?

Ero ei kyllä äkkiseltään vaikuta dramaattiselta, mutta kun huomioidaan että vaihtoehtojen määrä kasvaa suhteessa C^n, missä C on erilaisten merkkien määrä ja n merkkien määrä jonossa, niin nähdään miksi kannattaa suurentaa tuota erilaisten alkioiden määrää ottamalla mukaan esim. numeroita ja erikoismerkkejä.

Väite: Jos salasanoista jätettäisiin tietoisesti pois merkit (abcdeABCDE) ja myös salasanan purkuohjelma tietäisi tämän. Olisiko tällainen salasana yhtä helppo murtaa kuin nykyään salasana jossa ei ole numeroita mukana? Kummassakihan olisi saman verran merkkivaihtoehtoja.

Olet oikeilla jäljillä: vaikka kummassakin salasanatyypissä olisi silmämääräisesti yhtä paljon merkkivaihtoehtoja, niin tieto siitä että toinen ei sisällä noita tiettyjä merkkejä lyhentää oleellisesti tehtävien arvauksien määrää, jos tarkoituksena on raa'asti kokeilemalla saada jotain ratkaistua. Käytännössä tuon kaltainen lisätieto siis helpottaisi, mutta oikein tehtyjen modernien ja ei-rikottujen systeemien kanssa se ei vielä "riitä".

Onko väliä miten numerot sijaitsevat salasanassa? Eli 1e2r3TTt ja 123erTTt ovat yhtä vaikeita murtaa? Vai onko ensimmäinen vaikeampi murtaa?

Yksinkertaisen murtomallin kannalta ei ole, mutta jos huomioidaan että ihmisillä on tiettyjä taipumuksia "satunnaisuuden" suhteen (vierekkäisten nappien painallukset peräkkäin, vasen käsi aloittaa näppäimistön vasemmasta reunasta aakkosten kohdalta...), niin tuotakin tietoa voitaisiin hyvinkin hyödyntää.

 

[Flesh]

Mahtaako listaa löytyä vielä jostakin, ei viitsisi turhaan lähteä salasanoja muuttamaan, kun sen kuitenkin aika hiljattain tehnyt.

 

[ossipena]

Mahtaako listaa löytyä vielä jostakin, ei viitsisi turhaan lähteä salasanoja muuttamaan, kun sen kuitenkin aika hiljattain tehnyt.

joo ois kiva jos jollain ois vaikka kopio tosta listasta, nimittäin linkki tarjoaa 404 - eioota ja kiinnostais tietää että onko ite päässyt listalle...

 

[Pelles]

Sama täällä.. jos joltain löytyy se lista niin pistäkää vaikka sähköpostina tai privana halukkaille.

 

[ossipena]

nyt löyty muron kautta.

http://maraz.be/passlist_safe.txt

ei sisällä mitään salasanoja hasheja ym, pelkät tunnarit yms oheistiedot...

 

[shidox]

Pientä oikasua,

Elikkä ensinnäkin tuo ryhmä ei ole ruotsalainen vaan kyseessä on pari/muutama suomalaista teiniä. Muun muassa kiekko.tk sivustolta löytyy Magical Pink Bear & ZeroPoint henkilöiden tekemä lätkäjengi joka on rekisteröity yli vuosi sitten. Joten ei tarvitse pelätä mitään uusia iskuja, vaikka niistä nii varotellaan tekstin lopussa.

Ja mitä tulee noihin salasanoihin, niin ne ovat vielä tossa tekstissä ns. "md5 hash" muodossa eli tuollainen 32 merkkiä pitkä jono. Niin kuin jotkut tässä edellä jo mainitsivatkin. Normaali tallaaja ei saa tehtyä sillä hashillä mitään pahaa aikaseksi. Hieman enemmän tietokoneista tietävä saa helposti purattua hashin jos sen sisältämä salasana on alle 6 kirjainta pitkä, eikä sisällä erikoismerkkejä, isoja kirjaimia tai numeroita. Jos salasana on puolestaan yli 8 merkkiä pitkä ja sisältää edes yhden erikoismerkin, sen purkamiseen tarvittava aika vie nii paljon (jopa vuosia), ettei siihen käytännössä nykytietokoneilla kenelläkään riitä aika tai intressit. Ellet ole joku kuuluisuus.

Tosiaan uusia iskuja ei tarvitse pelätä noilta samoilta pojilta sillä he ovat jo ilmeisesti KRP:n tiedossa ;) Mutta vastaisuuden varalta suosittelen välttämään ainakin noita alle 6 merkkisiä salasanoja, sillä ne on aivan käsittämättömän helppo purkaa. Eli mieluiten pidempi kuin se ja joitain erikoismerkkejä sekaan (jos pelkäät salasanojesi puolesta). Säännnöllinen salasanojen vaihto on myös suositeltavaa.

 

[TruffleShuffle]

Kyllä sillä on väliä. Jos oletetaan että salasana on vaikkapa 5 merkin pituinen niin 10 uuden merkin lisäys vaikuttaa seuraavalla tavalla:

a)Aakkoset, 52^5 = 380 204 302
b)Aakkoset + numerot, 62^5 = 916 132 832

Huomaat että vaihtoehtojen määrä melkein kolminkertaistuu.

Ei ole mitään väliä mistä merkeistä salasana koostuu jos vaihtoehtoja on yhtä paljon. Matemaattisesti sillä ei ole väliä miten missä jonossa merkit ovat, mutta ohjelmalla joka salasanaa murtaa voi olla prioriteetteja, kuten esimerkiksi että ensin kokeillaan käyttäjätunnus, sitten käyttäjätunnus123 jne.

PS. Kenenkään muun tunnuksia ei kannata kokeilla ellei halua lakia rikkoa ja kärsiä mahdollisia seurauksia. RL 38luku § 8

Tai että brute force on tehty etukäteen, jolloin ainut homma on saadun hashin vertaaminen valmiiseen taulukkoon... Vie järjettömät määrät tilaa, mutta noita valmiiksi laskettuja taulukkoja on netissä vapaassa levityksessä. Oma salasana oli tarpeeksi pitkä, joten sitä ei pelkästä hashista saanut esiin ainakaan tällä kertaa..

 

[Hevonen]

moni missaa nyt noita salasanojen vahvuuksia laskiessaan, että upper caseja voi käyttää myös, eli aakkosien määrä tuplaantuu *hups*.

shidox, mistä tiät et oli suomalaisia?

edit: mulla on toi lista vielä jos joku sen haluaa ilman sensurointia.

 

[GoA]

Eipä löydy omaa ei. Toisaalta kun en vieraile missään rakkausruno.com tai irkissä niin todennäköisyydet laski heti. :D Lisäksi omat salasanat ovat täysin randomeja ja riittävän pitkiä. No hätä.

Ja noitten pelkkiä pieniä kirjamia sisältävien passujen murto on kyllä nopeaa. On tullut tuota itsekin testattua ja kissa jne. tyyppiset salasanat murtuu ihan hetkessä. hieman pidemmät tai erikoismerkkejä sisältävät kestävät sitten ikuisuuden yhdeltä koneelta. Tosin tuotakin varten voi valjastaa noita zombeja tekemääm työn.

 

[kariko]

edit: mulla on toi lista vielä jos joku sen haluaa ilman sensurointia.

Kehtaisitko lähettää sen mulle?
grandi10 (at) hotmail.com

 

[Hevonen]

Kehtaisitko lähettää sen mulle?
grandi10 (at) hotmail.com

pitäs olla perillä parin minsan kuluttua

 

[Nor]

http://www.hs.fi/kotimaa/artikkeli/...äjiltä+viety+tuhansia+tunnuksia/1135231016642

Ainaki tossa vielä väitetään, että kyseessä on ruotsalaiset.

 

[Hevonen]

http://www.hs.fi/kotimaa/artikkeli/...äjiltä+viety+tuhansia+tunnuksia/1135231016642

Ainaki tossa vielä väitetään, että kyseessä on ruotsalaiset.

Samaa sanotaan myös passlist.txt:issä, josta noi hs:n toimittajatkin sen on päätelly tai kattonu vaan jostain toiselta uutispalvelulta...

 

[kariko]

pitäs olla perillä parin minsan kuluttua

Kiitos sulle

 

[JN]

Samaa sanotaan myös passlist.txt:issä, josta noi hs:n toimittajatkin sen on päätelly tai kattonu vaan jostain toiselta uutispalvelulta...

Vois vaikka lyödä vetoa,että kyseessä oli ihan suomalaiset teinit