Cum arată parolele a peste 1 milion de utilizatori Sony?
10 Atacurile asupra infrastructurilor populare şi-au făcut amprenta luna trecută predominat pe Sony, avand de suferit din toate direcţiile. S-au confruntat cu furtul a peste 77 milioane de conturi din reţeaua Playstation alături de numeroase alte probleme de securitate remarcate pe diverse servicii Sony, unul dintre cele mai recente dintre acestea vizând SonyPictures.com.
Troy Hunt, Microsoft MVP şi un pasionat al securităţii a creat un raport cu privire la peste 1 milion de conturi aparţinând Sony. Acesta a urmărit lungimea parolelor, varietatea caracterelor folosite, unicitatea şi procentul parolelor aleatorii.
Lungimea parolelor
Studiul a scos la iveală că 93% dintre parolele conturilor au lungimi cuprinse între 6 şi 10 caractere, 50% dintre acestea având mai puţin de 8 caractere lungime.
Diversitatea caracterelor
Doar 4% dintre parole folosec trei sau mai multe tipuri de caractere, particularitatea interesantă fiind axarea pe un singur tip de caractere. De asemenea, doar 1% dintre parole conţine caractere ce nu sunt alfa-numerice.
Cât de aleatoare sunt parolele?
Aproape 36% dintre parolele analizate erau alcătuite din cuvinte ce existau în dicţionar. De asemenea, în topul celor mai utilizate parole stau : seinfeld, password, winner, 123456, purple, sweeps, contest, princess, maggie, 9452, peanut, shadow, ginger, michael, buster, sunshine, tigger, cookie, george, summer, taylor, bosco, abc123, ashley, bailey.
Predispunerea la aflarea parolelor prin tabele Rainbow
Din aceste observaţii rezultă că 82% dintre parole ar putea fi aflate printr-un atac bazat pe tabele rainbow obişnuit.
Concluzii
Deşi nu este nimic surprinzător, aceste date continuă să ne alarmeze. Parolele sunt prea scurte, prea simple, prea previzibile şi se observă o tendinţă de utilizare a aceleiaşi parole pe diverse sisteme informatice. Deşi aceste date sunt interesante, o mare greşeală aparţine şi gigantului Sony, care în 2011 se poate „mândri” cu parole care nu au nici cea mai mică formă de protecţie.
Si se mai mira cand raman fara conturi?
Auzi, „seinfeld”.. What the holly fuck au in creier pokemonii astia?!
Eu sunt curios cine a făcut publice parolele alea și mai ales cum? Sony sau Microsoft știu să decripteze MD5? 🙂
@Serban Parolele au fost facute publice dupa atacurilor recente asupra serviciilor si infrastructurii Sony. Acestea nu aveau nici o forma de hashuire/criptare, erau plain text. 🙂
Astia mari inca nu au invatat faza cu criptatul/hasuitul:) idem a fost si la Orange in urma ceva timp.
Citez din articolul lui Troy Hunt: ”After a little bit of cleansing, de-duping and an import into SQL Server for analysis, we end up with a total of 37,608 accounts. The LulzSec post earlier on did mention this was only a subset of the million they managed to obtain but it should be sufficient for our purposes here today.”
Deci setul de parole pe care s-a facut testul e unul mult redus, desi probabil și el seminificativ. Oricum, cred că ar merita menționat aspectul în articolul de mai sus… 🙂
Hmm, mi-a scapat aceasta obervatie. Multumesc de remarca. 🙂
o mica intrebare, eu aveam cont pe sony, dar numai ca sa-mi inregistrez produsele achizitiionate. Este o problema? Nici nu am mai avut curajul sa mai intru.
Incearca sa intri, schimba parola si teoretic totul ar trebui sa fie bine. 🙂
@Serban & Andrei Avădănei: nu cred ca parolele erau plain-text, cum nu cred nici ca Microsoft nu poate descifra MD5
[…] cum Andrei a anunţat într-un articol mai vechi blog, conturile a peste 77 de milioane de utilizatori din reţeaua Playstation au fost sparte. După această “pauză” forţată, care a durat mai bine de 3 săptămâni, Sony […]