Sjokkerende feil avslørte 11,7 millioner "uknekkelige" passord

Etter at hackere stakk av med blant annet hele brukerdatabasen på 36 millioner personer som bruke utroskapsnettsiden Ashley Madison, har det skjedd mye.

Nettkriminelle har startet utpressing av brukere som ikke ønsker at arbeidsgivere skal få vite om deres aktivitet på nettsiden, og noen har sågar gått så langt som å ta sitt eget liv.

Det viste seg også at nordmenn var storbrukere av siden.

Les også: Tusenvis av nordmenn dukker opp på utrokart

Trodde passordene var trygge

Men mange trodde det var gode nyheter oppi det hele: Nettsiden hadde nemlig tatt sikkerheten på alvor, og brukt en ekstremt sikker krypteringsmekanisme (bcrypt) på passordene som var lagret.

Sikkerhetseksperter mente at krypteringen var så sterk at det ville ta flere hundre år å knekke alle passordene benyttet.

Men det var før det viste seg at de hadde gjort en vanvittig tabbe i innloggingssystemet på nettsiden: For å gjøre ting enklere lagret de omtrent halvparten av passordene (15,26 millioner) to ganger: Én i kraftig kryptert form (bcrypt), og en i usedvanlig usikker form (md5).

En sikkerhetsekspert beskrev det som å ha verdisaker liggende i et helt trygt hvelv, samtidig som koden til døra sto skrevet på en post-it-lap ved siden av døra.

Så stor var denne tabben, at  sikkerhetseksperter over natten kunne 76 prosent av de dobbeltlagrede passordene, som en i utgangspunktet trodde var nesten helt sikre.

Skremmende passordtrend

En analyse av disse passordene viser en ganske skremmende utvikling:

Det mest brukte passordet - med solid margin - er nå å ha et passord som er identisk med brukernavnet. Hele 630.000 av de 11,7 millioner passordene - nesten 5,5 prosent - som er avdekket er av denne typen.

Ellers viser listen igjen at folk ikke ser ut til å lære: Over 120.000 personer benyttet seg av passordet "123456".

Det er nå laget en liste over de mest brukte passordene, og disse er nå så vanlige at de uansett hadde blitt knekt uansett krypteringsmetode.

CynoSure Prime melder samtidig at nesten alle benytter seg av korte passord som det er svært lett å knekke, og at den store majoriteten kun benytter seg av små bokstaver - eller små bokstaver pluss tall.

Hvem har skylden?

Sikkerhetseksperter diskuterer nå om det er brukerne som bør takke seg selv fordi det brukes utrolig enkle passord som tar svært kort tid å knekke, eller om det er nettsidene som virkelig må skjerpe seg.

Bruken av passord som "123456" er nærmest utilgivelig, men flere påpeker at krypteringsløsningen som i utgangspunktet ble benyttet er så god at bare de aller, aller vanligste passordene likevel ville blitt knekt hvis det ikke var for dobbeltlagringen.

Slik sikrer du deg

Realiteten ser dermed ut til at det beste du kan gjøre er det som har vært anbefalingen i flere år: Ikke bruk det samme passordet på flere tjenester, slik at konsekvensene av hacking av én side ikke betyr at alle andre nettjenestene du benytter blir usikre.

I tillegg bør du sørge for at passordene er så vanskelige at de ikke kunne havne på en slik liste over mest populære passord. Styr unna passord med ord fra ordboka, minst 12 tegn, og helst en kombinasjon av store og små bokstaver - samt spesialtegn - er et godt råd. Er du ekstra smart benytter du de norske tegnene æ-ø-å.

Er det for vanskelig? Mange eksperter anbefaler nå at du styrer unna passord, og i stedet benytter deg av passetninger. Det å huske et relativt kort passord av typen "3J4du(wo!di" er vanskelig, mens det er enkelt å huske lange setninger som "MangeSyngerJaViElskerOgSpiserPølse17mai".
(Kilder: Ars Technica, CynoSure Prime)