SIKKERHET

Flere hundre millioner ferske passord har kommet på avveie

Funnet i gigantisk samling.

En samling med mer enn en milliard innloggingsakkreditiver har blitt lekket. Mange av brukernavn-/passord-parene har ikke blitt offentliggjort tidligere, og mange skal fortsatt være i bruk.
En samling med mer enn en milliard innloggingsakkreditiver har blitt lekket. Mange av brukernavn-/passord-parene har ikke blitt offentliggjort tidligere, og mange skal fortsatt være i bruk. Bilde: Brian Jackson/Alamy/All Over Press
Harald BrombachHarald BrombachNyhetsleder
14. des. 2017 - 08:57

En samling på omtrent 1,4 milliarder par med brukernavn og passord har blitt funnet i et undergrunnsforum av satte i selskapet 4iQ. Slike samlinger tilbys stadig vekk, og ofte er det de samme akkreditivene som går igjen. 

Mange ferske par

Også i denne samlingen er det mange brukernavn-/passord-par som har vært tilgjengelige også tidligere. Men 28 prosent av parene, mer enn 385 millioner, ser ut til å være nye. Dette skriver 4iQ i et innlegg på Medium. Samtlige passord er oppgitt i klartekst.

Selskapet oppgir at det på et vis har testet et utvalg av nye passordene. De fleste har vist seg å fungere. 

Samlingen er ikke bare en liste, men inkluderer også et søkeverktøy som gjør det mulig med raske søk. Det skal også være mulig å importere mer data til samlingen.

Hele samlingen er på 41 gigabyte. Den ble funnet den 5. desember og ble sist oppdatert seks dager tidligere. 

Fordi dataene er listet alfabetisk etter brukernavn i samlingen, avslører den raskt gjenbruk av passord, mens også brukere som bruker lett identifiserbare mønstre i passordene, enten ved fornyelse eller på ulike tjenester. 

Fortsatt elendige passord

4iQ har lagt en liste med de 40 vanligste passordene i samlingen. De aller fleste består av tegn som er i rekkefølge, slik som 12345 (som er det aller mest brukte passordet), eller tegn som ligger inntil hverandre på tastaturet, slik som 1qaz2wsx. Dette er selvfølgelig helt ubrukelige passord. 

Et passord som likevel skiller seg ut, og som er benyttet i mer enn 621 000 tilfeller, er homelesspa. Heller ikke dette er noe godt passord, men det er likevel ikke det første en tenker på når en skal lage en enkelt passord. I utgangspunktet gir det ingen mening at det skal være brukt så mange ganger. 

Men tidligere lekkasjer har avslørt var det aller mest brukte passordet på MySpace. Dette skal skyldes at passordet er brukt i forbindelse i forbindelse med en mengde automatisk opprettede kontoer med samme epostformat. Alt tyder på at dette dreide seg om falske brukere.

Mye tyder på at de fleste av passordene stammer fra systemer hvor de har vært lagret i klartekst eller hashet med svake sjekksum-algoritmer, slik som MD5. Det er mange år siden MD5 ble ansett egnet for noe sikkerhetsrelatert.

Mange i Norge er rammet: 450.000 norske epostadresser og passord lekket i klartekst: – Dette er absolutt store tall (Digi Ekstra)

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.