Een lezer vroeg me:
De website Have I Been Pwned heeft van de FBI 630 miljoen wachtwoorden ontvangen. Deze wachtwoorden werden volgens de website aangetroffen na de inbeslagname van meerdere apparaten van een verdachte. Het doet mij raar aan dat de politie zo ‘gestolen’ data deelt met een private partij. Kan dat in Nederland?Als je het zo algemeen stelt, doet het inderdaad raar aan. De politie treft iets aan (spullen of data) bij een verdachte in het kader van een strafrechtelijk onderzoek, en geeft die dan onderhands aan zomaar een private partij.
Dat zou zo algemeen niet kunnen in Nederland. Als de politie zaken in beslag neemt, dan worden die of teruggegeven, of verbeurd verklaard. In dat laatste geval wordt de Staat er eigenaar van (art. 9 Strafrecht) en gewoonlijk worden ze dan verkocht. Zaken die op zichzelf verboden zijn (bijvoorbeeld vuurwapens) worden juist vernietigd. Er is dus geen formele route om die spullen zomaar aan iemand mee te geven.
Hier is het echt niet zomaar, HIBP is een maatschappelijk initiatief van grote bewezen waarde dat al lange tijd samenwerkt met de FBI om de maatschappij veiliger te maken. In 2021 maakte HIBP-initiatiefnemer Troy Hunt bekend een samenwerking met de FBI opgezet te hebben waarbij de dienst wachtwoorden uploadt en Hunt ze ontsluit via zijn zoekdienst. De FBI noemde dit toen een “belangrijke publiek/private samenwerking”.
Ook in Nederland kunnen dergelijke constructies worden opgezet. Waarborgen zijn dan wel nodig, zoals het afschermen van de wachtwoorden vergelijkbaar met hoe HIBP dat doet. De AVG is precies hier dan niet relevant, omdat de FBI alleen de wachtwoorden deelt (“Pwned Password”) en niet gebruikersnaam/wachtwoord combinaties. Een wachtwoord an sich kan ik niet als een persoonsgegeven zien.
Arnoud
Overigens deelt de politie in Nederland al gecompromitteerde wachtwoorden met bedrijven. Inderdaad met een aantal waarborgen. Zie: https://www.politie.nl/informatie/wat-is-no-more-leaks.html
Huh als je de hash wil kunnen matchen op je eigen gegevens dan moet je ook hetzelfde hash mechanisme toepassen op je eigen gegevens.
Het is dan geen enkele moeite om de hash weer om te draaien en de gegevens weer te deanonimiseren.
Of mis ik iets?
Het omdraaien van een hash (gegeven een hash, wat was de input) behoort een vrijwel onmogelijke opgave te zijn. Bij de wat oudere MD5 hash is dit intussen gelukt, maar modernere hash algoritmen zijn in principe bestand tegen brute forcen en ander “terugdraaien”.
Sorry opmaak gaat verkeerd als je javascript uit hebt staan
Je gebruikt de hashes van de politie tijdens het inlogproces. In het inlogproces is de cleartext van het wachtwoord tijdelijk beschikbaar (die geeft de gebruiker immers op dat moment in). Je kunt dan de benodigde hash van de cleartext berekenen en die vergelijken met de lijst van de politie (en daarna vergeten). Je hoeft/kunt dus niet je volledige opgeslagen accountdatabase matchen met de lijst.
Een wachtwoord kan nog wel te herleiden zijn, maar de politie geeft geen wachtwoorden, maar wachtwoord hashes, en die kunnen alleen gekraakt worden als het in wachtwoordenboeken staat: gangbare/zwakke wachtwoorden –> niet herleidbaar naar een enkel uniek persoon.
Ook worden de databases met hashes publiek ter download aangeboden: FBI geeft het dus ook aan het publiek (middels een private dienst die het centraliseerd en host).
Verder zijn computergegevens (in deze, wachtwoord hashes) natuurlijk niet ‘enig goed’ dat gestolen of in beslag kan worden genomen.
Omdraaien wel. Maar brute force is altijd te doen al zijn de kosten vrij hoog en de vraag of dat het waard is.
Bitcoin is hier het bewijs van, de berekening is een stuk ingewikkelder dan een simpele hash maar je ziet chips die hashrates halen in de terrahashes per seconde
“Hashing is the chief cryptographic function that ASIC bitcoin mining hardware has to perform. Since bitcoins utilize the SHA-256 hashing algorithm, the designing of ASIC supports the execution of the particular algorithm. ASIC may have to carry out a large number of hash calculations in a single second to perform bitcoin mining smoothly.”
Het grappige is dat door de wachtwoord policies (min 8 karakters, 1 cijfer, etc.) het een stuk makkelijker wordt als je weet waar de dump vandaan komt.
Het wachtwoord van de meeste mensen zullen bijna exact aan deze policy voldoen dus daar begin je mee met bruteforcen. Combineer dit met de top 100 meest gebruikte wachtwoorden, dictionary attacks (nederlandse site heeft waarchijnlijk weinig op duits gebaseerde wachtwoorden) en andere slimme dingen zoals het feit dat mensen meestal ! @ gebruiken of een O door 0 vervangen en je hebt er zo wat te pakken.