Webová aplikace LeakedIn ověřuje hesla ze služby LinkedIn

7. 6. 2012

Sdílet

 Autor: © Kheng Guan Toh - Fotolia.com
Weboví vývojáři vytvořili aplikaci, která zjistí, jestli je zadané heslo obsaženo v seznamu 6,5 milionu šifrovaných hesel uživatel sítě LinkedIn zveřejněném v jednom ruském hackerském fóru.

Tak rozsáhlý únik hesel, ke kterému došlo ve středu, je závažný zejména proto, že účty LinkedIn obsahují podrobné osobní údaje odborníků a vedoucích pracovníků mnoha významných firem. Zástupci sociální sítě vyzývají některé uživatele ke změně hesla. Pokud se vám to stávající líbí a raději byste si je ponechali, můžete celkem jednoduše zjistit, jestli se právě vaše heslo nachází mezi oněmi vyzrazenými.

Toto ověření jde poměrně jednoduše provést na webu LeakedIn. Do textového políčka stačí zadat buď nezašifrovanou verzi hesla, nebo jeho podobu kryptovanou pomocí algoritmu SHA-1, který používá LinkedIn k uložení hesel. Pokud zadáte textovou podobu, JavaScriptová procedura spuštěná přímo v prohlížeči zadaný text zašifruje a odešle na server, kde je porovnán se zveřejněným seznamem.

Protože se jedná o obsáhlý seznam, kyberzločincům se prozatím nepodařilo dešifrovat všechna získaná hesla. Nepřestávají na tom ale pracovat, proto je lepší nespoléhat se na to. Chris Shiflett, jeden z vývojářů stojících za kontrolní webovou aplikací, na blogu napsal: „Zjistil jsem, že moje heslo bylo jak na seznamu 6,5 milionu odcizených, tak mezi těmi, která se již podařilo dešifrovat. Jsem jednou z obětí.“

Zašifrovaný text je možné dešifrovat pomocí výkonných grafických procesorů a volně dostupných nástrojů jako „John the Ripper“, které je možné spustit téměř v každém osobním počítači. Doba potřebná k rozlousknutí hesla závisí na jeho složitosti. Dešifrovací aplikace založené na slovnících obsahují seznamy slov získaných z dřívějších úspěšných pokusů o dešifrování, jejichž zakódované varianty porovnávají s dosud nerozkódovanými hesly. Další z metou jde cestou hrubé síly. Takové aplikace rychle zkoušejí zadávat různé kombinace znaků tak dlouho, dokud neobjeví správný řetězec. Druhá varianta zabere víc času, zejména u delších hesel obsahujících kombinaci malých a velkých písmen s čísly a speciálními znaky.

Podle Roberta Davida Grahama, generálního ředitele bezpečnostní poradenské firmy Errata Security, napsal, že každý znak v řetězci může být zadán až 100 různými způsoby. To znamená, že heslo dlouhé 5 znaků má 10 miliard možných kombinací, které lze pomocí nejnovějšího procesoru AMD Radeon HD 7970 dešifrovat během 5 sekund.

Graham dále napsal, že dešifrování hesla dlouhého šest znaků zabere maximálně 500 sekund, zatímco heslo dlouhé sedm znaků trvá dešifrovat až 13 hodin. U osmi znaků může dešifrování trvat až 57 dní a rozlousknout heslo dlouhé devět znaků by trvalo i 15 let. „Pokud tedy mělo vaše heslo sedm znaků, hackeři už ho nejspíš dešifrovali. Devítiznakové je ale na dešifrování pomocí hrubé síly stále ještě příliš dlouhé,“ napsal Graham.

LinkedIn nepoužíval při šifrování sůl (salt), tedy zapojení náhodných znaků, které dešifrování bez znalosti soli pomocí hrubé síly podstatně ztěžují. Společnost oznámila, že nyní již sůl do ukládaných hesel zavedla.

LinkedIn používá jako uživatelské jméno e-mailovou adresu. Není zřejmé, jestli se útočníkům podařilo získat kombinace názvů účtů a hesel. Pokud se jim to povedlo, je tento únik dat ještě závažnější, protože by jim umožnil okamžitý přístup ke konkrétním účtům. V tomto směru ještě dluží LinkedIn vysvětlení.