This article reflects results of joint work with Ukatemi guys.
(A magyar nyelvű változat az angol után található.)
Adobe was compromised this September. Stolen data was first found in September and disclosed in early October by Brian Krebs. Later on, some 10 days ago somebody has leaked a 9GB (uncompressed) authentication database stolen from Adobe.
The database was analyzed recently based on the properties of the encryption scheme.
http://stricture-group.com/files/adobe-top100.txt contains the results of the analysis: the top 100 frequently used encrypted passworts and the most probable guesses for the raw password.
Press write-up is also available on the research: http://www.zdnet.com/just-how-bad-are-the-top-100-passwords-from-the-adobe-hack-hint-think-really-really-bad-7000022782/
We were however curious about the passwords chosen by Hungarians. In the Adobe leak, there are 209 125 email addresses with .hu CCTLD domain name. By the same way how the previous research was carried out, we created a list of most frequent passwords among this 200 thousands of users and tried to pinpoint the most likely cleartext password based on the password hint information and email addresses.
Note, however, that due to the much smaller corpus (200k instead of 154M accounts), we had much lower number of password hints, and thus the confidence of our results is lower.
In the table below, we show the frequency, how many times a password was used in the .hu corpus, and for comparison, we also show the frequency in the full database. If a password is often used in the whole database, then it is most likely not a specific hungarian word, but some internationally known word,phrase or code. In addition to the most likely password, we give secondary ideas in cases where we are not confident enough, and some information about the meaning of the specific word, if it relates to Hungarian language or culture.
Ezév szeptemberében vették észre, hogy valamilyen ismeretlen csoport feltörte a világszerte ismert Adobe szoftvergyártót (többek között az Acrobat Reader, Photoshop és Flash Player gyártóját), és elloptak a cégtől forráskódokat valamint nagyméretű felhasználói adatokat tartalmazó adatbázisokat. Október elején került napvilágra az adatlopás ténye, és október végén hírek kaptak napvilágra arról, hogy a cég 154 millió felhasználójának adatai is napvilágra kerültek. Pár nappal később egyre több helyen volt elérhető ez az ellopott 9GB méretű információhalmaz. Az adatok tartalmazzák a felhasználók e-mail címeit, kódolt jelszavát és ún. jelszó-tanácsát is. A kódolt jelszó egy szimmetrikus rejtjelezővel, egy erősnek számító 3DES algoritmussal van rejtjelezve, a jelszó-tanács egy védelem nélküli szöveg.
A rejtjelezett jelszót kulcs nélkül nem lehet dekódolni, és a kulcs egyelőre nem szivárgott ki. Ezért a jelszavak elvileg nem feltörhetőek. Sajnos azonban az iparági gyakorlattól eltérően a tárolási mód sérülékenységeket rejt magában. A rejtjelezett kulcsok nem salt-oltak és ECB módban “IV” nélkül rejtejelezettek. Ezek a szakkifejezések azt mondják ki: ha két felhasználónak azonos a jelszava, akkor a rejtjelezett párjuk is azonos.
Ez pedig gond. Sok felhasználó esetén sokan használnak azonos jelszót. Ha két felhasználó azonos jelszót használ, akkor a kódolt jelszavuk is azonos lesz. Ha találunk két felhasználót, akiknek azonos a kódolt jelszavuk, és az egyik a jelszó-tanács mezőben az írja, hogy “A jelszó három a betű és az 12 számsor”, akkor nagy valószínűséggel tudjuk, hogy a másik felhasználónak is aaa12 a jelszava. Nincs lehetőségünk a teljes bizonyosság megszerzésére, tehát ez a trükk főleg olyan jelszavakra működik, ahol a jelszavakat sokan használják és sok a jelszó-tanács (password hint) is.
Ennek megfelelően külföldön már pár napja publikáltak egy listát a leggyakoribb 100 rejtelezett jelszóról és annak megfejtett párjairól. A .hu domain névvvel regisztrált email című felhasználók száma meghaladja a 200 000 elemet a listában, közösen az Ukatemi startup cégünk embereivel azt vizsgáltuk meg, hogy mik a magyar jelszóválasztási szokások, és hogyan illeszkednek a nemzetközi környezethez.
Az alábbi listában megtekinthető a magyarok (.hu email) által leggyakrabban használt jelszavak kódolt változata, a darabszám, ahányszor .hu domainről használták, a darabszám, ahányszor nemzetközileg használták (ez is érdekes lehet, hisz vannak magyarok .com cím alatt is, és vannak jelszavak, amik nemzetközi szinten is használatosak). Feltűntettük a legvalósznűbb becslésünket a jelszóra (ami nem biztos, mert nem ellenőrizhető jogszerűen), és a tippjeinket, ha a legbiztosabb ötlet nem igaz. A külföldiek számára kis értelmezést is elhelyeztünk a jelszó jelentéséről.
Összesen csak kb. 3 jelszó esetén nem volt elég adat a nagyjából biztonságos azonosításra, ezeknél valamilyen okból senki, vagy szinte senki nem jelölt meg jelszó-emlékeztetőt.
Érdekességek:
- Sok citromail.hu felhasználó jelszava “citrom” – nem túl kreatív és veszélyes
- Sok jelszó-tanács nagyon egyszerű ” a van ellentéte” “nem narancs” “A tudom ellentéte”
- Sok tanács kiad plusz információt “Ugyanaz, mint az xy@z.hu címemen” – ez külön segítség, hogy mit támadhatunk meg még a jelszóval.
“Mint mindenhol” – ez is egyértelműen gond, nemcsak, hogy ugyanazt a jelszót használja a felhasználó, de még segíti is a támadót, hogy továbbmenjen. - Sok felhasználó “nevem” “barátnő neve” “második nevem” szöveget írt, mondván, esetleg az email címéből ez nem következik. Ugyanakkor, a többi azonos jelszót
használó felhasználónak elég egy szempillantást venni az email címeire, és triviális, hogy ha 20 emberből 10-nek csilla szerepel a címében, akkor a jelszó csilla, vagy annak becézése lesz. És innentől egy vadidegenről azt is tudhatjuk, hogy mi a neve, barátnője neve, második neve stb., ami segítség ún. social engineering támadásokhoz is.
FRISSÍTÉS: Találtunk pár apróbb hibát, ezeket “FIXED” felirattal javítjuk
Mintaként nézzük meg a következő rövidített listát (lecseréltük X-re a nem releváns részeket):
115103118-|--|-XXcsilla@XXX.hu-|-8Nd+cNdQ360=-|-nevem|--
62657676-|--|-nonXX@XXXXX.hu-|-8Nd+cNdQ360=-|-|--
100898317-|--|-Xcsilla2@XXXX.hu-|-8Nd+cNdQ360=-|-name|--
121149457-|--|-XXcsilla@XXXX.hu-|-8Nd+cNdQ360=-|-nevem|--
123756555-|--|-barXXXX@XXXX.hu-|-8Nd+cNdQ360=-|-kind|--
153339366-|--|-slXXX@XXX.hu-|-8Nd+cNdQ360=-|-Asszony|--
114565459-|--|-zsolt.XXXX@XXX.hu-|-8Nd+cNdQ360=-|-kislanyom|--
63691377-|--|-X_csilla@XXXX.hu-|-8Nd+cNdQ360=-|-|--
66609165-|--|-archer.XXX@XXX.hu-|-8Nd+cNdQ360=-|-|--
67272237-|--|-ylvXXX@XXXXX.hu-|-8Nd+cNdQ360=-|-|--
74715082-|--|-lindusXX@XXXXX.hu-|-8Nd+cNdQ360=-|-nevem|--
174992278-|--|-fXXXX.csilla@XXX.hu-|-8Nd+cNdQ360=-|-|--
177821115-|--|-putirXXXX@XXX.hu-|-8Nd+cNdQ360=-|-|--
183285417-|--|-kXXX.csilla@XXX.hu-|-8Nd+cNdQ360=-|-|--
96471297-|--|-csillapXXX@XXX.hu-|-8Nd+cNdQ360=-|-|--
69058043-|--|-csillalXXX@XXX.hu-|-8Nd+cNdQ360=-|-|--
A “nevem” “name” “Asszony” és “kislanyom” alapján egyértelmű, hogy egy női nevet keresünk. Ezután pedig elég ránézni az e-mail címek listájára, hogy észrevegyük mennyire sok “csilla” szerepel rajta. Persze tévedhetünk, hiszen van egy “lindus” email című is, de a “csilla” elsöprő többségben van.
A jelszavak listájából látszik, hogy nagy az átfedés a nemzetközileg is használt jelszavakkal pl. “123456”, de vannak lokálisak is “szerelem”. A legtöbb jelszó továbbra is név vagy becenév, alig van ettől eltérő az első százban. Tanács: Sose használjuk emberek neveit, beceneveit, vagy azok módosításait, mert ezek a leggyakoribbak. Legyünk kreatívabbak, még mindig igaz, hogy a cseresznye151pok sokkalta biztonságosabb, mint a kr1sztinaIloveyou. A legjobb, ha valami generátorral készítünk jelszavakat, ezek sem tudnak csodát tenni, de egy DooYee7goe5EeFa nagyon erős. Összehasonlíthatatlanul erősebb az eddigi vicces példáknál.
Összegezve:
A helyzet tehát az, hogy aki regisztrált az Adobe-nál bármilyen okból, és a jelszavát máshol is használta, azonnal jelszót kell változtatnia a többi helyen.
Rank | No. in .hu | No. in all | Encrypted PW | Most likely password | Is it in top100/english? | remarks, other guesses |
1 | 3191 | 1911938 | EQ7fIpT7i/Q= | 123456 | Y | |
2 | 525 | 932 | pbn7wO3zb+8= | jelszo | password in hungarian | |
3 | 461 | 43497 | 4V+mGczxDEA= | 12345 | Y | |
4 | 394 | 446162 | j9p+HwtWWT86aMjgZFLzYg== | 123456789 | Y | |
5 | 348 | 13401 | uQM9dmQq8vE= | qwertz | hungarian keyboard layout has y=z | |
6 | 337 | 345834 | L8qbAD3jl3jioxG6CatHBw== | password | Y | |
7 | 289 | 201580 | j9p+HwtWWT/ioxG6CatHBw== | 12345678 | Y | |
8 | 273 | 31555 | dA8D8OYD55E= | asdfgh | Y | |
9 | 248 | 113884 | 7LqYzKVeq8I= | 111111 | Y | |
10 | 214 | 76187 | diQ+ie23vAA= | 000000 | Y | |
11 | 213 | 44282 | xz6PIeGzr6g= | aaaaaa | Y | |
12 | 209 | 54651 | WqflwJFYW3+PszVFZo1Ggg== | macromedia | Y | |
13 | 202 | 20961 | WlMTLimQ5b4= | asdasd | Y | |
14 | 201 | 61453 | ukxzEcXU6Pw= | 1234 | Y | |
15 | 189 | 320 | q1A6iHNzTFg= | valami | something in hungarian | |
16 | 186 | 313 | MWv89Ddd99M= | piglet | ||
17 | 176 | 1467 | 3zV1jrgwEro= | attila | hungarian male name | |
18 | 175 | 284 | MiWs/2HM40w= | lacika | hungarian male name | |
19 | 173 | 124253 | dQi0asWPYvQ= | 1234567 | Y | |
20 | 153 | 37407 | yp2KLbBiQXs= | 666666 | Y | |
21 | 151 | 274 | z5rLiwD12co= | almafa | appletree in hungarian | |
22 | 150 | 260 | N4+iUEuZbPw= | cica | cat in hungarian | |
23 | 137 | 214 | MAEvnIZOuSk= | peti | peter in short | |
24 | 135 | 6662 | uIMAMQyXI/g= | something international, 6600 hits | ||
25 | 134 | 239 | dvqulUaGiQg= | zolika | zoltan in short, male name | |
26 | 126 | 273 | AhfBRgIzdos= | tamas | maybe tomi tomika, male name | |
27 | 125 | 294 | W/jzwDNnaOw= | lofasz | should be censored | |
28 | 124 | 367 | MSycWzt2SLPqvJr9l/X59g== | szerelem | love in hungarian | |
29 | 123 | 220 | rA3xnflDDXI= | esztike | maybe eszter, hungarian female name | |
30 | 119 | 83411 | PMDTbP0LZxu03SwrFUvYGA== | photoshop | Y | |
31 | 118 | 13044 | upIXKNY/ZKY= | xxxxxx | ||
32 | 116 | 234 | zjrHRH4etC0= | macika | maybe maci, stands for bear or teddy | |
33 | 107 | 234 | m0/4nMkmJyM= | gabi | maybe gabika, female or male name in short | |
34 | 106 | 15910 | e21tszGBy4k= | matrix | Y | |
35 | 104 | 187 | P9f9Bgw46Hk= | nincs | means it does not exist | |
36 | 102 | 194 | zwakdT5tFhk= | titok | secret in hungarian | |
37 | 100 | 192 | /jNYdvynVr0= | csillag | star in hungarian | |
38 | 100 | 1162 | +bZCz+Mm7WHioxG6CatHBw== | budapest | capital of Hungary | |
39 | 97 | 235 | iqVZniq2Z6fioxG6CatHBw== | cicamica | like pussycat | |
40 | 97 | 443 | bDjmWzVDGMo= | dani | male name in short | |
41 | 97 | 17989 | NtCzq/i0Ffc= | abc | Y | |
42 | 95 | 9014 | LEdwuvBMkVzioxG6CatHBw== | garfield | ||
43 | 92 | 16374 | QSay9kzQVz8= | samsung | Y | |
44 | 92 | 155 | FClbZZD1l1A= | FIXED: nemtom | I dunno in short | |
45 | 91 | 149 | Xe2T3yCUsCc= | balazs | maybe balu, balika | |
46 | 90 | 155 | lwXlGk4RTzc= | mazsola | kind name | |
47 | 89 | 247 | D0B1TLHoZoTioxG6CatHBw== | szeretet | love (one version) in hungarian | |
48 | 88 | 197 | Yg/0iyYFi+A= | janika | male name in short | |
49 | 86 | 12160 | rkyaRFa+eak= | qwe123 | ||
50 | 86 | 421 | FvWPZ2OI8V0= | tigris | maybe tigris1 | |
51 | 84 | 17176 | oa/GBGqIApo= | killer | Y | |
52 | 84 | 4540 | TYrTfuuBGm0= | monika | female name in short | |
53 | 83 | 142 | p6kbkduAMhPioxG6CatHBw== | FIXED: macilaci/TD> | Yogi Bear | |
54 | 82 | 153 | iolWV4U4baM= | madar | bird in hungarian | |
55 | 81 | 131 | TiMyOmRnnYk= | mokus | second guess: manoka mokus is for squirrel | |
56 | 80 | 214 | ugYjb/7SO9DioxG6CatHBw== | FIXED: nemtudom | “I don’t know” | |
57 | 79 | 11707 | rNhveK0RH5Q= | ferrari | ||
58 | 79 | 1267 | ghZhzPTEyrU= | viktor | ||
59 | 79 | 6920 | QkLIDf6naxw= | no hint, strange | ||
60 | 78 | 27387 | XpDlpOQzTSE= | 121212 | Y | |
61 | 78 | 4829 | XWs+3joEULU= | 0123456 | maybe 012345 | |
62 | 76 | 18049 | b5LJqTmQmvQ= | 555555 | Y | |
63 | 74 | 377 | syBP2PbOprLioxG6CatHBw== | FIXED: freemail | ||
64 | 73 | 9787 | C6fdPcrsYlU= | 123asd | or asd123 | |
65 | 72 | 20572 | ueE89xIj8RTioxG6CatHBw== | internet | Y | |
66 | 72 | 17454 | MEXwK6GOWHk= | andrea | Y | |
67 | 72 | 130832 | 5djv7ZCI2ws= | qwerty | Y | |
68 | 71 | 7991 | E3P4TkKmrIE= | no hint, strange | ||
69 | 70 | 82694 | e6MPXQ5G6a8= | 123123 | Y | |
70 | 70 | 43673 | Ypsmk6AXQTk= | 654321 | Y | |
71 | 69 | 111 | WHnoclxstks= | some woman’s name, bea, betti, zsuzsa or monika are most likely | ||
72 | 69 | 3246 | SSCHXSLigpo= | roland | ||
73 | 69 | 2618 | I+sy2I0+oHg= | delfin | ||
74 | 69 | 230 | 2e2bx0WPm8o= | andi | ||
75 | 68 | 10742 | ewOK16tiXAs= | enimem | ||
76 | 68 | 22103 | OrzNCxMfwrw= | fdsa | Y | |
77 | 68 | 139 | 8Nd+cNdQ360= | csilla | hungarian female name | |
78 | 66 | 959 | remGyraE2+rioxG6CatHBw== | viktoria | hungarian female name | |
79 | 66 | 5213 | SVXt5Rlot1U= | clever | or something related to iq, cleverness, and a brand of computer mouse | |
80 | 66 | 16177 | F9nqBYx2LhA= | asdfghj | Y | |
81 | 66 | 13531 | DuMurYI43dU= | blabla | blahblah in hungarian | |
82 | 65 | 737 | vEldih7WrfY= | vivien | female name | |
83 | 65 | 129 | o2D+z1QYuHo= | FIXED: nyuszi | bunny in hugarian | |
84 | 65 | 7070 | U1yPApWcaOA= | barbara | female name | |
85 | 63 | 27856 | pTkQrKZ/JYM= | dragon | Y | |
86 | 62 | 128 | vQGGxx87Fyk= | levente | male name | |
87 | 62 | 95 | 7DOklOXTFPo= | zsolesz | or other forms of zsolt, like zsolti | |
88 | 61 | 70795 | kCcUSCmonEA= | abc123 | Y | |
89 | 61 | 81 | gkfBa7HrOnY= | citrom | funny, many “citromail.hu” users chose that, hungarian: lemon | |
90 | 61 | 15805 | fbO2Wx232qY= | secret | Y | |
91 | 60 | 102 | kiQXbvrKbiA= | robi | or robert, robby, roby, or similar | |
92 | 60 | 88 | GsQ/41R7pXw= | FIXED: kriszti | female name | |
93 | 60 | 194 | /EoAhM0rWA8= | kata | maybe katalin, kati, female name | |
94 | 59 | 179 | mkRrr6/R2oE= | richard | ||
95 | 59 | 14159 | PwB5ue3qkgs= | oliver | ||
96 | 59 | 181 | Kt3DWt8h3tg= | ildiko | hungarian female name | |
97 | 57 | 6734 | u57swGYZlf/ioxG6CatHBw== | juventus | ||
98 | 57 | 146 | MoedSZDdCmk= | zsuzsi | or zsuzsanna, hungarian name like suzy | |
99 | 56 | 20022 | ziypr2hyamc= | 123qwe | Y | |
100 | 56 | 97 | pp3j26xZbvTioxG6CatHBw== | kiskacsa | stands for duck in hungarian. fix: kacsa->kiskacsa “small duck” | |
101 | 56 | P2x/N9v5UaM= | melinda | female name in short |
Edited by: Boldizsar Bencsath