A Gnosis nevet viselő hackercsoport által vasárnap a Pirate Bay-re feltöltött gawkeres forráskódokkal és adatbázissal is érkezett már egy rövid elemzés a talált jelszóadatbázis összetételéről. A letöltött anyagokhoz mellékelt readme.txt fájlban a hackerek azt írták, hogy a blogszolgáltató kommentelői közül meglepően sokan használták jelszóként az angol password (jelszó) szót. A dokumentum szerint sokkolóan sokan voltak olyanok, akik az 1234 vagy a 0000 számsort, illetve a világ legrosszabb jelszavát a QWERTY betűsort választották.
A Gnosis által levont tanulságokat erősítette meg egy rövid Twitter bejegyzésben Alejandro Ramos spanyol biztonsági szakember is. Ramos vizsgálata szerint a felhasználók 1,6 százaléka használta az 123456 számsort jelszóként, s kerek egy százalékuk (majdnem kétezer ember) gondolta, hogy a password szó jó lesz jelszónak. Több mint ezer ember szerint a számok egytől nyolcig már elég biztonságos kódsornak számítanak. Végül pedig 661-en választották a lifehack szót jó kódnak azon a bloghálózaton, ahol a Lifehacker az egyik vezető blog.
Ósdi kód őrzi a jelszavakat
A letölthető adatok nagy része nem jelszó volt, hanem a jelszóból az idejétmúlt DES rejtjel segítségével készített hash-kód. A Gnosisnak az 1,3 milliárdos adatsorból 237 ezer jelszót volt ideje visszafejteni. A Mediaite magazinnak adott e-mail interjújuk szerint a szerény eredményről az idő rövidsége tehet, ha lett volna még idejük, akkor akár félmillió jelszót is nyilvánosságra hozhattak volna.
Ha valaki nem tudta volna, a password, a qwerty és az 1234 nem jó jelszó
A Gawker programozói által választott DES rejtjel nagyban hozzájárult ahhoz, hogy egy nappal az adatbázis nyilvánosságra hozása után már vannak elérhető elemzések a felhasználók jelszóválasztási gyakorlatáról. Az 1976-ban titkosítási normává választott rejtjelről 1998-ban bizonyították be az Electronic Frontier Foundation kutatói, hogy a kor számítógépeivel egyszerűen feltörhető.
Készülnek a független elemzések
Az első részletesebb elemzésre a Duosecurity csapata vállakozott. A titkosítva tárolt jelszavakat az ingyenesen letölthető John The Ripper jelszótörővel és egy 1,9 milliárd szavas listával próbálták megfejteni egy nyolcmagos számítógép segítségével. A Duosecurity sem a teljes adatbázist vette célba, csupán az egyszerűbben feltörhető 530 ezer hash-sel próbálkoztak. A gép egy órányi működés után 190 ezer jelszóval végzett.
A kutatók első, és legmeglepőbb felfedezése az volt, hogy a toplista első három eleme egy-egy gawkeres blog neve végig kisbetűvel írva. Népszerű volt még a billentyűzet első három betűje (QAZ) és hozzá néhány szám, a sample12 (példa12), valamint a toplistára érdemesnek bizonyult a Csillagok háborújának renttenthetetlen fejvadásza, Boba Fett is kisbetűvel és egybe írva. Viszonylag sokan alkalmazták leet átírásban (1337, a betűket hasonló alakú számokkal helyettesítő netes kód) a password szót (p4ssw0rd). A Gnosis által említett sok password és qwerty jelszónak azonban nyomát sem találták az elemzők.
A jelszavak túlnyomó többsége csak kisbetűket tartalmazott
A Duosecurity feltételezése szerint a Gawker egy idő után elkezdte tiltani a különösen gyakori, nagyon egyértelmű jelszavakat. Ez a védelem is kevés volt ahhoz, hogy a felhasználókat megvédje önmaguktól: a 190 ezer feltört jelszó több mint 99 százaléka csak kisbetűket, nagybetűket és számokat tartalmazott. Speciális karakterek, írásjegyek, vagy bármi, ami nehezítené a kód megtörését, nem szerepelt bennük. A feltört jelszavaknak majdnem a fele (45 százalék) kizárólag kisbetűket tartalmazott, több mint egytizedük (11%) pedig kizárólag számokból állt.
A Duosecurity blogján közölt elemzés szerint az általuk elemzett adatbázisban nagyon sok az egyedi, csak egyetlen felhasználó által felhasznált jelszó is. Ha a jeligék nagy része nem is jó minőségű, ez a jelenség azért némileg megnyugtató.
Más szolgáltatások is érintettek
Az 1,3 millió kiszivárgott jelszó nem csak a Gawker-t érinti, az összes webes szolgáltatásnak kemény napokat szerezhet a bloghálózat elleni hackertámadás. Mivel a felhasználók hajlamosak ugyanazt a jelszót több szolgáltatásban is használni, valamint az adatbázis felhasználóneveket és azonosítónak használható e-mail-címeket is tartalmazott, a rosszindulatú hackerek előtt várhatóan nyitva áll több népszerű szolgáltatás.
A felhasználók hajlamosak több oldalon használni ugyanazt a jelszót
A Twitteren már a nap során megkezdődött az könnyen ellopható felhasználói fiókok feltörése. A szemfüles hackerek egy diétát hirdető üzenetet küldtek ki több ezer olyan felhasználó nevében, aki megegyező jelszót használt a két oldalon.
Magyar felhasználók is érintettek
A Gawker Media blogjain valaha kommentáló magyar felhasználók rákereshetnek magukra a Google Fusion Tables-en megosztott, az e-mail-címeket is hashelve tároló táblázatban . Gyors szűrésünk alapján 353 olyan felhasználó van, aki .hu-ra végződő címmel regisztrált a Gawkernél, az érintett magyarok száma azonban nyilván magasabb, hiszen ebbe nem számítanak bele a Gmailt vagy Hotmailt használó honfitársaink.
A pontos e-mail-címre keresést csak a parancssorban biztosan mozgóknak ajánljuk. Az ezzel töltendő időt érdemesebb annak végiggondolására fordítani, hogy hol egyezhet meg a jelszó a gawkeres blogokon használttal. Ha a lista megvan, nagyon gyorsan ki kell cserélni mindahányat olyan biztonságos verzióra, ami kisbetűt, nagybetűt, számot és írásjelet is tartalmaz.