Dan Egerstad startar ett program, matar in ett skyddat lösenord och trycker på Enter. Han hinner knappt släppa tangenten innan lösenordet visas i klartext på skärmen.
Time: 0 seconds.
Det enkla, men vanliga, lösenordet ”sommar” tar mindre än en sekund att knäcka.
Grafikkort gör jobbet
2007 blev Dan Egersta
d (ö)känd när han hackade till sig lösenord som tillhörde ambassader runt om i världen och publicerade dessa på webben. Han gjorde det för att visa på säkerhetsbrister i systemen. I media fick han namnet ”Ambassadhackaren” (läs mer på surftips.se/ambassadhack).
PC för Alla träffar Dan Egerstad i Malmö där han numera driver företaget Bemaze som sysslar med it-säkerhet. Att hitta dit är inte det lättaste – adressen på företagets sajt stämmer nämligen inte överens med den verkliga.
– Vi har valt att ha det så eftersom vi jobbar med känsliga saker, berättar han.
På hans kontor står en dator dedikerad till att knäcka lösenord. För att klara uppgiften behövs ordentligt med uträkningskraft, men någon superdator är det inte. Burken innehåller två kraftfulla grafikkort, det är allt som krävs för att kunna testa nio miljarder teckenkombinationer – i sekunden.
– Förr användes superdatorer, sedan blev grafikkorten så bra att de nu gör den här typen av beräkningar hundra gånger bättre än en processor. Vem som helst med en hyfsat bra speldator skulle kunna göra det här, säger Dan Egerstad.
Stjäl lösenordsdatabaser
Det vanligaste sättet för hackare att komma över lösenord är genom att hitta svagheter i sajter och ta sig in och sno databaser med ”hashade” lösenord. När du registrerar dig på sajter som Facebook, forum, mejl med mera sparas nämligen lösenorden (oftast) som ”hashar”, vilket betyder att lösenordet inte finns sparat i klartext. I stället får varje lösenord en kontrollsumma. ”Sommar” blir till exempel ”81dc9bdb52d04dc20036dbd8313ed055”. Dessa körs sedan av hackarna genom program för att få fram lösenordet.
Eftersom användarnamn och e-postadresser oftast sparas i klartext är det sedan en lätt match att ta sig in på andra sajter där du använder samma inloggning.
– På sajter som Flashback läggs det ut ungefär två stulna lösenordsdatabaser i veckan från sajter som hackats. Då är det bara i Sverige – och bara de hack som hackarna väljer att skryta offentligt om. Då förstår man hur vanligt och stort problem det här är, berättar Dan Egerstad.
Knäckt på fyra sekunder
Så hur viktigt är det då att ha ett starkt lösenord? Mot bättre vetande ger jag mitt riktiga Facebook-lösenord (hashat förstås) till Dan Egerstad. Lösenordet är sju tecken långt, både bokstäver och siffror, och är i min värld betydligt starkare än exempelvis ”sommar” som han knäckte på under en sekund.
Han matar in hashen i hackerprogrammet Oclhashcat, ett program som enkelt laddas ned från internet. Han noterar vilken typ av hashning som använts och ställer in programmet på att knäcka MD5 (den enklaste, men också vanligaste formen av hashning på nätet). Sedan trycker han på Enter och programmet sätter igång.
Mycket riktigt tar det längre tid att knäcka mitt lösenord än ”sommar”. Fyra gånger så lång tid, eller fyra sekunder senare, har han fått fram lösenordet. ”Moan26r” står plötsligt i klartext på skärmen.
– Båda grafikkorten hann inte ens börja jobba, berättar han.
– När jag nu har ditt lösenord hade jag först gått in på Facebook eller din mejl och tittat om jag kunde hitta andra inloggningar eller annan intressant information. Sedan hade jag testat din jobbmejl och så vidare.
Jag får skamset be om att få låna hans dator för att logga in på Facebook och byta lösenord. 13 tecken, bokstäver, siffror och specialtecken blir det nya lösenordet.
– Alla använder i dag antivirusskydd, brandväggar och annat för att skydda sina datorer. På webben är det ingen som tänker på säkerheten på samma sätt. Det börjar bli bättre, men det är långt kvar, säger Dan Egerstad.l
