Hash-koder i all ära – men lösenorden?

Uppdaterat 11.42, 13.06, 14.21.

William Petzäll har under morgonen satt i gång att publicera uppgifter om saker ledande sverigedemokrater gjort, som knappast kan kallas annat än graverande. Å andra sidan påstås att han inte ens har tillgång till internet och definitivt inte skrivit på Twitter i dag.

Förutom att flera av dem ska ha varit aktiva skribenter på Politiskt Inkorrekt, ska de även ha sysslat med dataintrång av folkpartistiska proportioner. Personen som twittrar från Williams konto hävdar att ledande personer i partiet under flera år har haft tillgång till journalisters och andra personers epost-lösenord, och att de använt sig av dessa både för att skriva på PI och i arbetet med partiet. För att styrka påståendena publicerar personen hash-koder för flera av lösenorden.

Här är ett exempel.

Åkesson var orolig för att PP skulle ta väljare i valet så dom såg till att få tillgång till Falkvinges lösenord.

92e1289e6ed27436e253765bb20922e5 rick@piratpartiet.se

En hash-kod är ett slags fingeravtryck av data. Du kan inte med hjälp av detta fingeravtryck räkna ut vad datan ursprungligen varit, och de algoritmer som används vid beräkningen ska vara utformade på ett sådant sätt att även mycket små förändringar i datan leder till ett helt annorlunda avtryck.

Det är sedan detta fingeravtryck som lagras på epost-servern, i stället för det faktiska lösenordet. När du försöker logga in, så jämförs det lagrade fingeravtrycket med det från lösenordet du angav vid inloggningen. Om de stämmer överens så är sannolikheten enormt hög att du angivit rätt lösenord.

Men är det verkligen omöjligt att lista ut vad lösenordet är, om man fått fatt på ett sådant fingeravtryck? Nej, inte alls. De flesta sajter använder fingeravtryck utan något så kallat salt, vilket gör dem högst sårbara. För även om man inte kan "räkna baklänges" från ett fingeravtryck och få fram det ursprungliga lösenordet, så kan man använda sig av ett slags förberedda tabeller, som kallas rainbow tables.

Uppdatering, 13.06: Viktigt att inflika här är vad Mikael Nordfeldth skriver i en kommentar till det här inlägget, nämligen att fingeravtrycken mycket sannolikt inte plockats ur någon databas, utan lika väl kan ha skapats av den person som publicerat dem via Williams Twitter-konto. Därför finns heller inget som tyder på att någon av sajterna i fråga inte använder salt.

Dessa regnbågstabeller skapas genom att man helt enkelt räknar fram fingeravtrycken för en enorm mängd olika ord eller teckenkombinationer, och sparar dem i par, tillsammans med den data som de motsvarar. När man sedan kommer över ett fingeravtryck av någons lösenord, behöver man bara söka i sin tabell efter fingeravtrycket i fråga.

Om en sajt däremot använder något bra salt, så gäller inte de standardtabeller som finns fritt tillgängliga, utan man måste lägga ned oändligt mycket tid på att beräkna en helt ny tabell enbart för sajten i fråga.

Många standardtabeller finns fritt tillgängliga på nätet, så det enklaste sättet att söka reda på vilket lösenord som hör samman med ett visst fingeravtryck är att helt enkelt mata in fingeravtrycket i en sökmotor. Detta har jag gjort.

• Den hash som tillskrivs Rickard Falkvinge motsvarar till exempel ordet kestrel.
• Niklas Svenssons lösenord på Politikerbloggen blir getingbo, och på Expressen blir det vips.
• Robert Laul på Aftonbladet ska ha lösenordet tejp.
• Någon som heter Gunnar på Expressen sägs ha lösenordet amelio.
• Susanne B. Olssons på Expressen hash motsvarar ordet Mmat. Detta kan vara det verkliga lösenordet, men det kan också vara fråga om en krock. I så fall har hon valt något annat ord till lösenord, som råkar ha samma fingeravtryck som Mmat. Oavsett vilket så torde lösenordet fungera.
• Malin Forsberg på Expressen tycks ha lösenordet mona54.

Och så vidare.

Nu är frågan: Är de här uppgifterna riktiga? Expressen och Aftonbladet tycks ju bekräfta det, men sådant verkar ju inte riktigt vara att lita på nu för tiden.

Om de senare visar sig vara riktiga, så följer nästa fråga: I vilken utsträckning bekräftar detta att det övriga som hävdats från kontot är riktigt? Det är ärligt talat svårt att se någon solklar koppling.

Kan förresten journalister och partiledare verkligen ha så här dumma lösenord?

Uppdatering, 14.21: Fingeravtrycken som publicerades från Twitter-kontot verkar alla finnas bland de användaruppgifter som snoddes från Bloggtoppen i en attack för några veckor sedan. Om detta stämmer, så är fingeravtrycken kopierade direkt ur Bloggtoppens dåvarande databas, som då inte torde vara saltad. Följderna blir mycket små för dem med konto där, under strikt förutsättning att de ingen annanstans använt samma lösenord, har ett förfärligt krångligt lösenord, eller helst både och.

Så nu sitter jag här och är litet mallig över att jag gjort båda. Mitt Bloggtoppen-lösenord var uppbyggt enligt samma principer som följande omaka skara tecken.

Alltså inte enligt några principer alls. Sina lösenord kan man sedan ha i en krypterad databas (som man håller hårt i) eller i plånboken, om man har svårt att minnas dem.