Datainnbruddet hos Adobe viser at Adobe ikke beskyttet passordene de lagret etter gode standarder.
Da vi først meldte om datainnbrudd hos Adobe, skrev vi at informasjon om 2.9 millioner kunder hadde kommet på avveier. Siden har det kommet fram at tallet er nærmere 130 millioner.
De dårlige nyhetene fortsetter dessverre å komme. Det viser seg at Adobe hadde kryptert passordene istedenfor å hashe dem. Forskjellen mellom de to er at kryptering kan reverseres hvis man har nøkkelen, en hash er en enveisfunksjon som ikke kan reverseres, man må gjette originalteksten, som i dette tilfellet er passordet.
En hash beskytter hver bruker individuelt, mens kryptering bruker ett master-passord som kan låse opp alle passordene. I dette tilfellet trenger angriperen bare å finne ut krypteringsalgoritmen og master-passordet, så kan angriperen dekryptere alle passordene.
Sophos har sett på de krypterte passordene og viser hvordan de enkelt kan finne ut krypteringsalgoritmen og klartekstpassordet til mange kontoer. Adobe har bekreftet at de benyttet 3DES for å kryptere passordene.
Adobe sier også at systemet som ble brutt inn i var et backup-system, nå bruker de SHA-256, salt og hasher passordene iterativt. Dette regnes som god skikk for å beskytte passordene.
Det burde heller ikke komme som noen overraskelse at mange av passordene er svake. Selv om vi ikke vet nøkkelen som passordene er kryptert med, kan man bruke passordhintene til å gjette seg fram til passordene. Det mest populære passordet denne gangen er “123456” med “123456789” og “password” på henholdsvis andre og tredje plass.
NorSIS anbefaler:
- Hvis du har en konto på Adobe, sørg for å bytte passord på andre kontoer der du har samme passord. Kontoen på Adobe har blitt deaktivert, så der må du lage nytt passord.
- Når du registrerer deg på et nettsted, så vet du aldri hvor god sikkerhet de har. Derfor er det viktig å bruke forskjellig passord på forskjellige nettsteder.
- Bruke sterke passord, se egen veiledning om passord.
Les mer:
- Artikkel hos csoonline.com.
- Artikkel hos arstechnica.com.
- Artikkel hos nakedsecurity.sophos.com.
- Vår originale artikkel om datainnbruddet hos Adobe.
- De 100 mest populære passordene hos Stricture Group.