Όταν η ιστοσελίδα της Ashley Madison παραβιάστηκε τον Ιούλιο, εκθέτοντας 37 εκατομμύρια χρήστες σε κίνδυνο, δεν χάθηκαν όλα. Ενώ τα ονόματα χρήστη και τα emails εκτέθηκαν στο κοινό, οι πραγματικοί λογαριασμοί χρηστών εξακολουθούν να προστατεύονται από κωδικό πρόσβασης. Το συνθηματικό δεν έχει αποθηκευτεί σε μορφή απλού κειμένου, αλλά αντ ‘ αυτού προστατεύεται από έναν από τους πιο ισχυρούς μηχανισμούς προστασίας.
Η Avast κοίταξε τη διαρροή δεδομένων της Ashley Madison, η οποία περιελάμβανε τους κωδικούς πρόσβασης που έχουν κρυπτογραφηθεί με bcrypt. Το bcrypt είναι ένας ασφαλής αλγόριθμος κατακερματισμού για τους καλούς κωδικούς πρόσβασης, δηλαδή για εκείνους που δεν είναι ασήμαντο να μαντέψεις, σύμφωνα με τον Ross Dickey, ανώτερος μηχανικός συστημάτων στο Avast.
Καθώς το bcrypt παρέχει έναν ασφαλή αλγόριθμο κατακερματισμού που καθιστά δύσκολο να μαντέψει κανείς κωδικούς πρόσβασης, ο Dickey σημειώνει ότι το πρόβλημα είναι ότι δεν υπάρχει κανένας γνωστός τρόπος ώστε να αποθηκεύετε με ασφάλεια ο κωδικός «123456» ή «password». Ως εκ τούτου, οι χρήστες της Ashley Madison με απλούς κωδικούς πρόσβασης εξακολουθούν να διατρέχουν κίνδυνο, δεδομένου ότι οι κωδικοί πρόσβασης θα μπορούσαν να σπάσουν ακόμη και με bcrypt κατακερματισμού. Τούτου λεχθέντος, η χρήση των brcrypt προσθέσει ένα σημαντικό ποσό πολυπλοκότητας και χρόνου προσπαθώντας να αποκρυπτογραφήσει τους κωδικούς πρόσβασης της Ashley Madison, είπε.
Οι ερευνητές της Avast εξέτασαν σε ένα υποσύνολο της βάσης δεδομένων της Ashley Madison, εξετάζοντας 10.000.00 κρυπτογραφημένους κωδικούς πρόσβασης. Τελικά, κατέληξαν ότι ο MD5 και ο SHA είναι εναλλακτικές λύσεις, παλαιότεροι και λιγότερο ασφαλείς αλγόριθμοι κατακερματισμού που κάποτε ήταν σε μεγάλη ανάπτυξη. Ο bcrypt θεωρείται ότι είναι πιο ασφαλές και από τους δύο (MD5 και SHA) για διάφορους λόγους, και βασίζεται στο γεγονός ότι τα bcrypt hashes είναι “salted” από προεπιλογή. Το salt αφορά ένα τυχαίο στοιχείο δεδομένων που περιλαμβάνεται σε ένα hash για να γίνει πιο ασφαλές.
Ο κορυφαίος κωδικός που βρέθηκε από το Avast ήταν το «123456», το οποίο χρησιμοποιήθηκε από 6.495 χρήστες της Ashley Madison. Στη δεύτερη θέση ήταν το “password”, που επιλέχθηκε από 3.268 ανθρώπους.
Παρά το γεγονός ότι η βάση δεδομένων της Ashley Madison διέρρευσε μέσω μιας εγκληματικής επίθεσης που αποτελεί αντικείμενο έρευνας από τις αρχές στο Τορόντο, ο Dickey πιστεύει ότι δεν υπάρχει τίποτα λάθος με την εξέταση των password hashes.
H ερευνητική ομάδα ασφάλειας Cynosure Prime εξέτασε, επίσης, τους κωδικούς της Ashley Madison και ισχυρίζεται ότι έχει βρει μια πιο αποτελεσματική μέθοδο για την αποκρυπτογράφηση των hashes.
Επιπλέον, ισχυρίζεται ότι η μέθοδος αυτή της επέτρεψε να αποκρυπτογραφήσει τα εκατομμύρια των bcrypt hashes σε ημέρες και όχι έτη. Συγκεκριμένα, οι ανασφαλείς λειτουργίες δεν υπάρχουν στο σύνολο της βάσης δεδομένων και επέτρεψε στους ερευνητές να επωφεληθούν από τον ασθενέστερο MD5 αλγόριθμο κατακερματισμού για να αποκρυπτογραφήσει τους κωδικούς πρόσβασης.
