Begin oktober raakte bekend dat 290.000 accounts van Hookers.nl, een website met besprekingen van dames van plezier, werden gestolen. De data bevatte onder meer gebruikersnamen, e-mailadressen en het IP-adres van de gebruikers. De wachtwoorden in kwestie waren gehashed, dat is een versleutelingslaag waardoor een wachtwoord niet zomaar te lezen of achterhalen is, mocht het in verkeerde handen vallen.

57 procent te ontcijferen

Dat laatste blijkt nu toch niet zo efficiënt te zijn. De mensen achter Scattered Secrets, een dienst vergelijkbaar met HaveIbeenPwned die laat weten of je wachtwoord ergens is gelekt, zijn aan de slag gegaan met de gegevens. In een uitgebreide blogpost doen ze hun bevindingen uit de doeken.

Op drie dagen tijd slaagden ze erin om 57 procent van de wachtwoorden te ontcijferen. Zo achterhaalden de krakers dat, omdat de site al sinds 2002 bestaat, een hoop oudere accounts met oudere hashtechnologie werd versleuteld. Dat bleek het geval te zijn voor 82,5 procent van de wachtwoorden. 16,8 procent gebruikten het nieuwere bcrypt. 0,7 procent van de accounts waren gekoppeld aan ongeldige mailadressen.

Extra interessant is dat de mensen van Scattered Secrets benadrukken dat het ontcijferen van wachtwoorden die zijn versleuteld met bcrypt maar liefst 16 miljoen keer meer moeite kost als een gewone (high end) grafische kaart wordt gebruikt. In dat geval duurt het zo'n 27 jaar om de ongeveer 50.000 bcrypt-wachtwoorden te achterhalen.

Het team gebruikte echter geen grafische kaarten maar FPGA's, zeer specifieke hardware voor het ontcijferen. Daarmee slaagden ze er in om op drie dagen het merendeel van de wachtwoorden te kraken. "Met beperkte inspanningen en basistechnieken hebben we 154.653 legacy (64%) en 11.675 bcrypt (24%) wachtwoorden kunnen kraken. Dit komt neer op 166.328 van de 290.871 wachtwoorden (57%)" Aldus het team van Scattered Secrets.

Vaak voorkomende wachtwoorden

Uit analyse van de wachtwoorden zitten enkele opmerkelijke trends. Zo komt het wachtwoord 'vRbGQnS997' het vaakst (1.320 keer) voor. Volgens de onderzoekers gaat het hier om een grote hoeveelheid spamaccounts die hetzelfde wachtwoord gebruiken.

Verder op de lijst zien we onder meer '123456', 'qwerty' (Nederlands toetsenbord) of 'azerty' (Belgisch/Frans toetsenbord) of namen van steden. Volgens de krakers zijn er ook bijna honderd gebruikers die een wachtwoord hebben dat overeenkomt met een Nederlands telefoonnummer.

De kans is groot dat iemand die de wachtwoordendatabase van Hookers.nl in handen krijgt, die gebruikt om leden van het forum af te persen. De onderzoekers raden daarom aan om in de toekomst een lang wachtwoord van 12 tekens of meer te gebruiken. Ook hoor je voor elke dienst een uniek wachtwoord te gebruiken. Idealiter zo uniek dat ze niet aan elkaar gelinkt kunnen worden. Denk daarbij aan iemand die het wachtwoord '1x2z87pizza' gebruikt voor een etenbestelsites, en ''1x2z87gmail' voor je mailbox'.