Link is het populairste wachtwoord van LinkedIn-gebruikers van wie de wachtwoord-hash gekraakt is. Deze week verscheen een bestand met 6,5 miljoen wachtwoord-hashes van LinkedIn-gebruikers online. Daarvan is inmiddels een groot deel gekraakt, wat een overzicht van de Top 30 populairste LinkedIn-wachtwoorden oplevert. Na Link volgt 1234, work, god en job. Fuck, bitch en dick komen ook in het overzicht voor en dat is geen verstandig keuze, aldus beveiligingsbedrijf Rapid7 dat de Top 30 samenstelde.
Scheldwoorden zijn niet alleen zwak, ze kunnen ook erg gĂȘnant voor de eigenaar zijn als ze worden geopenbaard. "Dit soort wachtwoorden kunnen ervoor zorgen dat je LinkedIn moet gebruiken om een nieuwe baan te vinden!" Daarnaast zouden scheldwoorden boven brute-force woordenboeken staan, zo laat de beveiliger weten.
Waarschuwing
Inmiddels heeft ook LinkedIn meer details over het wachtwoord-lek gegeven. Daarin verklaart de sociale netwerksite waarom het gebruikers niet direct waarschuwde. "Meteen toen we van de diefstal hoorden, zijn we een onderzoek begonnen om te bevestigen dat de wachtwoorden van LinkedIn-gebruikers zijn. Zodra dit bevestigd was, hebben we meteen het risico voor onze gebruikers in kaart gebracht", zegt Vicente Silveira.
Van gebruikers van wie de gelekte wachtwoord-hash was gekraakt werd het account uitgeschakeld. Vervolgens werden deze gebruikers via e-mail ingelicht.
Salt
Daarnaast stelt Silveira dat de wachtwoorden van LinkedIn-gebruikers al voor het nieuws van het wachtwoord-lek waren gesalt. Bij salting wordt een waarde aan het wachtwoord toegevoegd en dit vervolgens gehasht, waardoor eerdere berekende hashes niet zijn te gebruiken. De gelekte LinkedIn-hashes zijn niet gesalt.
Dat zou kunnen betekenen dat de wachtwoorden voor het salten zijn gestolen of dat ze uit een oude back-up afkomstig zijn, zoals sommige experts vermoeden
Bron: www.security.nl