Nov 072013
 

This article reflects results of joint work with Ukatemi guys.
(A magyar nyelvű változat az angol után található.)

Adobe was compromised this September. Stolen data was first found in September and disclosed in early October by Brian Krebs. Later on, some 10 days ago somebody has leaked a 9GB (uncompressed) authentication database stolen from Adobe.

The database was analyzed recently based on the properties of the encryption scheme.
http://stricture-group.com/files/adobe-top100.txt contains the results of the analysis: the top 100 frequently used encrypted passworts and the most probable guesses for the raw password.
Press write-up is also available on the research: http://www.zdnet.com/just-how-bad-are-the-top-100-passwords-from-the-adobe-hack-hint-think-really-really-bad-7000022782/

We were however curious about the passwords chosen by Hungarians. In the Adobe leak, there are 209 125 email addresses with .hu CCTLD domain name. By the same way how the previous research was carried out, we created a list of most frequent passwords among this 200 thousands of users and tried to pinpoint the most likely cleartext password based on the password hint information and email addresses.

Note, however, that due to the much smaller corpus (200k instead of 154M accounts), we had much lower number of password hints, and thus the confidence of our results is lower.
In the table below, we show the frequency, how many times a password was used in the .hu corpus, and for comparison, we also show the frequency in the full database. If a password is often used in the whole database, then it is most likely not a specific hungarian word, but some internationally known word,phrase or code. In addition to the most likely password, we give secondary ideas in cases where we are not confident enough, and some information about the meaning of the specific word, if it relates to Hungarian language or culture.


Ezév szeptemberében vették észre, hogy valamilyen ismeretlen csoport feltörte a világszerte ismert Adobe szoftvergyártót (többek között az Acrobat Reader, Photoshop és Flash Player gyártóját), és elloptak a cégtől forráskódokat valamint nagyméretű felhasználói adatokat tartalmazó adatbázisokat. Október elején került napvilágra az adatlopás ténye, és október végén hírek kaptak napvilágra arról, hogy a cég 154 millió felhasználójának adatai is napvilágra kerültek. Pár nappal később egyre több helyen volt elérhető ez az ellopott 9GB méretű információhalmaz. Az adatok tartalmazzák a felhasználók e-mail címeit, kódolt jelszavát és ún. jelszó-tanácsát is. A kódolt jelszó egy szimmetrikus rejtjelezővel, egy erősnek számító 3DES algoritmussal van rejtjelezve, a jelszó-tanács egy védelem nélküli szöveg.
A rejtjelezett jelszót kulcs nélkül nem lehet dekódolni, és a kulcs egyelőre nem szivárgott ki. Ezért a jelszavak elvileg nem feltörhetőek. Sajnos azonban az iparági gyakorlattól eltérően a tárolási mód sérülékenységeket rejt magában. A rejtjelezett kulcsok nem salt-oltak és ECB módban “IV” nélkül rejtejelezettek. Ezek a szakkifejezések azt mondják ki: ha két felhasználónak azonos a jelszava, akkor a rejtjelezett párjuk is azonos.

Ez pedig gond. Sok felhasználó esetén sokan használnak azonos jelszót. Ha két felhasználó azonos jelszót használ, akkor a kódolt jelszavuk is azonos lesz. Ha találunk két felhasználót, akiknek azonos a kódolt jelszavuk, és az egyik a jelszó-tanács mezőben az írja, hogy “A jelszó három a betű és az 12 számsor”, akkor nagy valószínűséggel tudjuk, hogy a másik felhasználónak is aaa12 a jelszava. Nincs lehetőségünk a teljes bizonyosság megszerzésére, tehát ez a trükk főleg olyan jelszavakra működik, ahol a jelszavakat sokan használják és sok a jelszó-tanács (password hint) is.

Ennek megfelelően külföldön már pár napja publikáltak egy listát a leggyakoribb 100 rejtelezett jelszóról és annak megfejtett párjairól. A .hu domain névvvel regisztrált email című felhasználók száma meghaladja a 200 000 elemet a listában, közösen az Ukatemi startup cégünk embereivel azt vizsgáltuk meg, hogy mik a magyar jelszóválasztási szokások, és hogyan illeszkednek a nemzetközi környezethez.

Az alábbi listában megtekinthető a magyarok (.hu email) által leggyakrabban használt jelszavak kódolt változata, a darabszám, ahányszor .hu domainről használták, a darabszám, ahányszor nemzetközileg használták (ez is érdekes lehet, hisz vannak magyarok .com cím alatt is, és vannak jelszavak, amik nemzetközi szinten is használatosak). Feltűntettük a legvalósznűbb becslésünket a jelszóra (ami nem biztos, mert nem ellenőrizhető jogszerűen), és a tippjeinket, ha a legbiztosabb ötlet nem igaz. A külföldiek számára kis értelmezést is elhelyeztünk a jelszó jelentéséről.
Összesen csak kb. 3 jelszó esetén nem volt elég adat a nagyjából biztonságos azonosításra, ezeknél valamilyen okból senki, vagy szinte senki nem jelölt meg jelszó-emlékeztetőt.

Érdekességek:

  • Sok citromail.hu felhasználó jelszava “citrom” – nem túl kreatív és veszélyes
  • Sok jelszó-tanács nagyon egyszerű ” a van ellentéte” “nem narancs” “A tudom ellentéte”
  • Sok tanács kiad plusz információt “Ugyanaz, mint az xy@z.hu címemen” – ez külön segítség, hogy mit támadhatunk meg még a jelszóval.
    “Mint mindenhol” – ez is egyértelműen gond, nemcsak, hogy ugyanazt a jelszót használja a felhasználó, de még segíti is a támadót, hogy továbbmenjen.

  • Sok felhasználó “nevem” “barátnő neve” “második nevem” szöveget írt, mondván, esetleg az email címéből ez nem következik. Ugyanakkor, a többi azonos jelszót
    használó felhasználónak elég egy szempillantást venni az email címeire, és triviális, hogy ha 20 emberből 10-nek csilla szerepel a címében, akkor a jelszó csilla, vagy annak becézése lesz. És innentől egy vadidegenről azt is tudhatjuk, hogy mi a neve, barátnője neve, második neve stb., ami segítség ún. social engineering támadásokhoz is.

FRISSÍTÉS: Találtunk pár apróbb hibát, ezeket “FIXED” felirattal javítjuk

Mintaként nézzük meg a következő rövidített listát (lecseréltük X-re a nem releváns részeket):

115103118-|--|-XXcsilla@XXX.hu-|-8Nd+cNdQ360=-|-nevem|--
62657676-|--|-nonXX@XXXXX.hu-|-8Nd+cNdQ360=-|-|--
100898317-|--|-Xcsilla2@XXXX.hu-|-8Nd+cNdQ360=-|-name|--
121149457-|--|-XXcsilla@XXXX.hu-|-8Nd+cNdQ360=-|-nevem|--
123756555-|--|-barXXXX@XXXX.hu-|-8Nd+cNdQ360=-|-kind|--
153339366-|--|-slXXX@XXX.hu-|-8Nd+cNdQ360=-|-Asszony|--
114565459-|--|-zsolt.XXXX@XXX.hu-|-8Nd+cNdQ360=-|-kislanyom|--
63691377-|--|-X_csilla@XXXX.hu-|-8Nd+cNdQ360=-|-|--
66609165-|--|-archer.XXX@XXX.hu-|-8Nd+cNdQ360=-|-|--
67272237-|--|-ylvXXX@XXXXX.hu-|-8Nd+cNdQ360=-|-|--
74715082-|--|-lindusXX@XXXXX.hu-|-8Nd+cNdQ360=-|-nevem|--
174992278-|--|-fXXXX.csilla@XXX.hu-|-8Nd+cNdQ360=-|-|--
177821115-|--|-putirXXXX@XXX.hu-|-8Nd+cNdQ360=-|-|--
183285417-|--|-kXXX.csilla@XXX.hu-|-8Nd+cNdQ360=-|-|--
96471297-|--|-csillapXXX@XXX.hu-|-8Nd+cNdQ360=-|-|--
69058043-|--|-csillalXXX@XXX.hu-|-8Nd+cNdQ360=-|-|--

A “nevem” “name” “Asszony” és “kislanyom” alapján egyértelmű, hogy egy női nevet keresünk. Ezután pedig elég ránézni az e-mail címek listájára, hogy észrevegyük mennyire sok “csilla” szerepel rajta. Persze tévedhetünk, hiszen van egy “lindus” email című is, de a “csilla” elsöprő többségben van.

A jelszavak listájából látszik, hogy nagy az átfedés a nemzetközileg is használt jelszavakkal pl. “123456”, de vannak lokálisak is “szerelem”. A legtöbb jelszó továbbra is név vagy becenév, alig van ettől eltérő az első százban. Tanács: Sose használjuk emberek neveit, beceneveit, vagy azok módosításait, mert ezek a leggyakoribbak. Legyünk kreatívabbak, még mindig igaz, hogy a cseresznye151pok sokkalta biztonságosabb, mint a kr1sztinaIloveyou. A legjobb, ha valami generátorral készítünk jelszavakat, ezek sem tudnak csodát tenni, de egy DooYee7goe5EeFa nagyon erős. Összehasonlíthatatlanul erősebb az eddigi vicces példáknál.

Összegezve:
A helyzet tehát az, hogy aki regisztrált az Adobe-nál bármilyen okból, és a jelszavát máshol is használta, azonnal jelszót kell változtatnia a többi helyen.



RankNo. in .huNo. in allEncrypted PWMost likely passwordIs it in top100/english?remarks, other guesses
131911911938EQ7fIpT7i/Q=123456Y
2525932pbn7wO3zb+8=jelszopassword in hungarian
3461434974V+mGczxDEA=12345Y
4394446162j9p+HwtWWT86aMjgZFLzYg==123456789Y
534813401uQM9dmQq8vE=qwertzhungarian keyboard layout has y=z
6337345834L8qbAD3jl3jioxG6CatHBw==passwordY
7289201580j9p+HwtWWT/ioxG6CatHBw==12345678Y
827331555dA8D8OYD55E=asdfghY
92481138847LqYzKVeq8I=111111Y
1021476187diQ+ie23vAA=000000Y
1121344282xz6PIeGzr6g=aaaaaaY
1220954651WqflwJFYW3+PszVFZo1Ggg==macromediaY
1320220961WlMTLimQ5b4=asdasdY
1420161453ukxzEcXU6Pw=1234Y
15189320q1A6iHNzTFg=valamisomething in hungarian
16186313MWv89Ddd99M=piglet
1717614673zV1jrgwEro=attilahungarian male name
18175284MiWs/2HM40w=lacikahungarian male name
19173124253dQi0asWPYvQ=1234567Y
2015337407yp2KLbBiQXs=666666Y
21151274z5rLiwD12co=almafaappletree in hungarian
22150260N4+iUEuZbPw=cicacat in hungarian
23137214MAEvnIZOuSk=petipeter in short
241356662uIMAMQyXI/g=something international, 6600 hits
25134239dvqulUaGiQg=zolikazoltan in short, male name
26126273AhfBRgIzdos=tamasmaybe tomi tomika, male name
27125294W/jzwDNnaOw=lofaszshould be censored
28124367MSycWzt2SLPqvJr9l/X59g==szerelemlove in hungarian
29123220rA3xnflDDXI=esztikemaybe eszter, hungarian female name
3011983411PMDTbP0LZxu03SwrFUvYGA==photoshopY
3111813044upIXKNY/ZKY=xxxxxx
32116234zjrHRH4etC0=macikamaybe maci, stands for bear or teddy
33107234m0/4nMkmJyM=gabimaybe gabika, female or male name in short
3410615910e21tszGBy4k=matrixY
35104187P9f9Bgw46Hk=nincsmeans it does not exist
36102194zwakdT5tFhk=titoksecret in hungarian
37100192/jNYdvynVr0=csillagstar in hungarian
381001162+bZCz+Mm7WHioxG6CatHBw==budapestcapital of Hungary
3997235iqVZniq2Z6fioxG6CatHBw==cicamicalike pussycat
4097443bDjmWzVDGMo=danimale name in short
419717989NtCzq/i0Ffc=abcY
42959014LEdwuvBMkVzioxG6CatHBw==garfield
439216374QSay9kzQVz8=samsungY
4492155FClbZZD1l1A=FIXED: nemtomI dunno in short
4591149Xe2T3yCUsCc=balazsmaybe balu, balika
4690155lwXlGk4RTzc=mazsolakind name
4789247D0B1TLHoZoTioxG6CatHBw==szeretetlove (one version) in hungarian
4888197Yg/0iyYFi+A=janikamale name in short
498612160rkyaRFa+eak=qwe123
5086421FvWPZ2OI8V0=tigrismaybe tigris1
518417176oa/GBGqIApo=killerY
52844540TYrTfuuBGm0=monikafemale name in short
5383142p6kbkduAMhPioxG6CatHBw==FIXED: macilaci/TD>Yogi Bear
5482153iolWV4U4baM=madarbird in hungarian
5581131TiMyOmRnnYk=mokussecond guess: manoka mokus is for squirrel
5680214ugYjb/7SO9DioxG6CatHBw==FIXED: nemtudom“I don’t know”
577911707rNhveK0RH5Q=ferrari
58791267ghZhzPTEyrU=viktor
59796920QkLIDf6naxw=no hint, strange
607827387XpDlpOQzTSE=121212Y
61784829XWs+3joEULU=0123456maybe 012345
627618049b5LJqTmQmvQ=555555Y
6374377syBP2PbOprLioxG6CatHBw==FIXED: freemail
64739787C6fdPcrsYlU=123asdor asd123
657220572ueE89xIj8RTioxG6CatHBw==internetY
667217454MEXwK6GOWHk=andreaY
67721308325djv7ZCI2ws=qwertyY
68717991E3P4TkKmrIE=no hint, strange
697082694e6MPXQ5G6a8=123123Y
707043673Ypsmk6AXQTk=654321Y
7169111WHnoclxstks=some woman’s name, bea, betti, zsuzsa or monika are most likely
72693246SSCHXSLigpo=roland
73692618I+sy2I0+oHg=delfin
74692302e2bx0WPm8o=andi
756810742ewOK16tiXAs=enimem
766822103OrzNCxMfwrw=fdsaY
77681398Nd+cNdQ360=csillahungarian female name
7866959remGyraE2+rioxG6CatHBw==viktoriahungarian female name
79665213SVXt5Rlot1U=cleveror something related to iq, cleverness, and a brand of computer mouse
806616177F9nqBYx2LhA=asdfghjY
816613531DuMurYI43dU=blablablahblah in hungarian
8265737vEldih7WrfY=vivienfemale name
8365129o2D+z1QYuHo=FIXED: nyuszibunny in hugarian
84657070U1yPApWcaOA=barbarafemale name
856327856pTkQrKZ/JYM=dragonY
8662128vQGGxx87Fyk=leventemale name
8762957DOklOXTFPo=zsoleszor other forms of zsolt, like zsolti
886170795kCcUSCmonEA=abc123Y
896181gkfBa7HrOnY=citromfunny, many “citromail.hu” users chose that, hungarian: lemon
906115805fbO2Wx232qY=secretY
9160102kiQXbvrKbiA=robior robert, robby, roby, or similar
926088GsQ/41R7pXw=FIXED: krisztifemale name
9360194/EoAhM0rWA8=katamaybe katalin, kati, female name
9459179mkRrr6/R2oE=richard
955914159PwB5ue3qkgs=oliver
9659181Kt3DWt8h3tg=ildikohungarian female name
97576734u57swGYZlf/ioxG6CatHBw==juventus
9857146MoedSZDdCmk=zsuzsior zsuzsanna, hungarian name like suzy
995620022ziypr2hyamc=123qweY
1005697pp3j26xZbvTioxG6CatHBw==kiskacsastands for duck in hungarian. fix: kacsa->kiskacsa “small duck”
10156P2x/N9v5UaM=melindafemale name in short

Edited by: Boldizsar Bencsath

 Posted by at 9:36 pm