Stefan's weblog - Over de 'LinkedIn-wachtwoordenlijst'
Geplaatst: 06-06-2012
Vandaag is het gerucht ontstaan dat er een wachtwoordenlijst van LinkedIn gelekt zou zijn. Wat er precies gelekt is is onduidelijk, maar het is duidelijk dat er een lijst is met 6458020 gecodeerde wachtwoorden (SHA1 hashes in feite), en diverse mensen hebben getest of hun eigen LinkedIn-wachtwoord in de lijst staat, en dat lijkt zo te zijn.
Het gerucht is verder dat deze lijst is gepubliceerd zodat de hackers hulp kunnen krijgen met het kraken van de wachtwoorden.
Wat betekent dit nu eigenlijk?
Er is duidelijk 'iets' gelekt, en het is niet onwaarschijnlijk dat deze lijst van LinkedIn vandaan komt. In de lijst zijn geen gebruikersnamen vermeld, dus op zichzelf is deze vrij nutteloos. Je mag er echter vanuit gaan dat diegene die de lijst gepubliceerd hebben deze gebruikersnamen wèl hebben.
Verder is er geen indicatie naar wat de hackers van plan zijn met deze gegevens, dus of zij echt van plan zijn accounts te gaan misbruiken of dat ze een waarschuwing willen uitsturen.
Wat als je wachtwoord in de lijst staat
Allereerst mag je er vanuit gaan dat dit niet de complete lijst is, en er al enkele pogingen zijn gedaan om zoveel mogelijk accounts te hacken. Als je als hacker een grote hoeveelheid wachtwoorden wil kraken begin je meestal te vergelijken met lijsten. Er bestaan namelijk lijsten met wachtwoorden die veelgebruikt zijn, denk aan wachtwoorden als 'geheim', 'sleutel', 'g3h31m', 'fclutjebroek', 'justinbieber', 'wodan' etc. Dit soort wachtwoorden zal je dus nooit terugvinden in deze gelekte lijst! En er zijn hele grote lijsten met dit soort wachtwoorden te vinden, dus denk niet dat een simpele verbastering van de naam van je hond veilig is.
Vervolgens wordt er vaak een semi-brute force aanval gedaan naar gebruikelijke patronen. Sowieso elk woord met een '1' erachter bijvoorbeeld, of voorletter + achternaam + geboortedatum, als deze gegevens beschikbaar zijn, afhankelijk van hoeveel energie, verbeelding, en voorkennis de hacker heeft.
Het is dus maar de vraag of je wel of niet moet willen dat je wachtwoord in deze lijst staat. Mogelijk, als je er niet in staat, is je wachtwoord gewoon niet veilig genoeg!
(het mijne stond trouwens wèl op de lijst)
Dus wat nu?
Het kan natuurlijk nooit kwaad met regelmaat wachtwoorden te veranderen, dus ook nu is dat geen slecht idee. Belangrijker is het niet overal hetzelfde wachtwoord te gebruiken, zodat men niet meteen overal kan inloggen als eenmaal je wachtwoord wordt geraden.
Totdat wordt ontdekt waar de wachtwoorden precies vandaan komen, en het lek is gedicht, is het een beetje dweilen met de kraan open, maar bedenk wel dat een echt veilig wachtwoord (langer dan 8 karakters, afwisselend hoofd- en kleine letters, en gecombineerd met cijfers en speciale tekens) erg moeilijk te kraken is, en je daarmee de kans op succes voor eventuele hackers enorm verkleint.