Vi har förtydligat hur vi behandlar personuppgifter och cookies.

Läs mer
169 kr/månad

Vakna med DN på helgen. Halva priset på papperstidningen i tre månader!

En utskrift från Dagens Nyheter, 2019-07-22 05:47

Artikelns ursprungsadress: https://www.dn.se/blogg/teknikbloggen/2011/10/25/det-har-ar-en-hash-kod/

Teknikbloggen

Det här är en hash-kod

På den före detta SD-politikern William Petzälls Twitter-konto har det under morgonen publicerats inlägg som påstås avslöja detaljer inifrån partiet. Än är det för tidigt att säkert säga om uppgifterna stämmer, eller om det är Petzälls konto som har hackats. Men enligt tidningen Expo stämmer flera av de e-postadresser och hash-koder som har publicerats, något som Expressen också bekräftar.

(Uppdaterat: Sydsvenskans reporter Niklas Orrenius skriver på Twitter att han fått bekräftat från William Petzälls juridiska ombud att Petzäll inte har twittrat idag, och att han saknar tillgång till både dator och telefon.)

För att logga in på en webbtjänst matar man oftast in sitt användarnamn och lösenord. Tjänsten jämför sedan att användarnamn och lösenord stämmer, och om så är fallet släpps användaren in.

Men på servern sparas sällan ett lösenord i klartext. Skulle någon obehörig komma åt servern skulle det i så fall innebära att hon eller han skulle kunna plocka med sig en komplett, fungerande samling användarnamn och lösenord.

Så, istället för att spara lösenord i klartext är det istället vanligare att man sparar en så kallad kontrollsumma, på engelska "hash code". En kontrollsumma får man fram genom att göra vissa förutbestämda förändringar i lösenordet. Ett enkelt exempel skulle kunna vara att ersätta varje bokstav med den som kommer efter i alfabetet, varje siffra med den som kommer efter i talraden. Lösenordet "abc123" skulle i så fall sparas som "bcd234" på servern.

När användaren sedan försöker logga in tar servern det inmatade lösenordet, gör samma förändring och jämför sedan resultatet med kontrollsumman som finns sparad. Om det är någon som försöker gissa en användares lösenord och chansar på "acd123" blir kontrollsumman "bde234". När servern ser att det inte stämmer med det sparade värdet släpps användaren inte in.

De metoder som används för att skapa kontrollsummorna är i verkligheten betydligt mer avancerade än exemplet ovan. Men vissa äldre metoder, till exempelvis en ofta använd som heter MD5, går med dagens snabba datorer ofta att ta sig runt. Det innebär att det går att skriva datorprogram som på kort tid kan räkna fram vilket lösenord det är som skapat en viss kontrollkod.

Den som kör kontrollsummorna som publicerats på Petzälls Twitter-konto genom ett "knäckverktyg" får i flera fall fram ord som skulle kunna vara lösenord. I P4 Väst har Robert Laul, reporter på Aftonbladet, just sagt att "tejp" antagligen var det lösenord som han fick sig tilldelat för flera år sedan, men direkt därefter bytte till ett eget. Det lösenordet och flera andra från Aftonbladet har tidigare spridits efter en attack mot tidningen. Möjligen skulle det kunna innebära att fler kontrollkoder är hämtade från det tillfället.

Uppdaterat: Computer Sweden skriver nu att hashkoderna kommer från en attack mot Bloggtoppen.se tidigare i höstas.