|
|
阿什利·麥迪遜編碼失策讓超過1100萬密碼容易被破解 灰鴿子使用教程,遠(yuǎn)程控制軟件
網(wǎng)站的開發(fā)人員忘記了早期用戶三年前當(dāng)他們實(shí)現(xiàn)強(qiáng)大的密碼散列
直到今天,砍AshleyMadison.com的創(chuàng)建者不忠的網(wǎng)站似乎至少做了一件事情:保護(hù)用戶密碼的哈希算法。
信念,然而,被一群愛好者痛苦地反駁了密碼破解者��,灰鴿子下載�����。
個(gè)團(tuán)隊(duì),稱為指針'篩選了阿什利·麥迪遜源代碼被黑客網(wǎng)站上發(fā)現(xiàn)一個(gè)主要錯(cuò)誤密碼是如何在網(wǎng)站上處理�����。
他們聲稱,這允許他們裂紋超過1100萬的3600萬密碼散列存儲(chǔ)在網(wǎng)站的數(shù)據(jù)庫(kù),這也被泄露�����。
幾周前這一壯舉似乎是不可能的因?yàn)榘踩珜<液芸彀l(fā)現(xiàn)阿什利·麥迪遜的泄露數(shù)據(jù)存儲(chǔ)的密碼散列形式——共同安全實(shí)踐——使用一個(gè)叫做bcrypt密碼功能���。
哈希是一種單向加密。一個(gè)清晰的文本字符串,就像一個(gè)密碼��。
通過一種算法運(yùn)行,通常多次,為了生成一個(gè)獨(dú)一無二的字符串作為其代表���。這個(gè)過程并不應(yīng)該是可逆的,除非該算法是有缺陷的���。
然而,復(fù)蘇的原始密碼散列有時(shí)可能通過使用蠻力的方法�����。這被稱為哈希開裂,涉及到大量的運(yùn)行可能通過相同的密碼算法,用于生成原始散列和尋找匹配��。
這些努力的成功取決于許多因素:使用哈希函數(shù)的類型,它的實(shí)現(xiàn),是否額外的秘密值稱為鹽被添加到密碼,密碼本身的復(fù)雜性和可用的硬件資源��。
Bcrypt計(jì)算量比一些其他功能,如MD5,這有利于性能在強(qiáng)力保護(hù)�����。
此外,開發(fā)人員使用的阿什利·麥迪遜12的成本因素在他們的實(shí)現(xiàn)中,這意味著每一個(gè)可能的密碼攻擊者想要測(cè)試需要經(jīng)過4096輪的散列�����。
和一個(gè)中等身材的字典——這使得開裂,甚至是一組常見的密碼,和一個(gè)非常強(qiáng)大的硬件平臺(tái),非常緩慢���。大字典發(fā)現(xiàn)匹配的可能性越大,但越慢的過程。
安全專家叫院長(zhǎng)皮爾斯試圖在第一個(gè)600萬年阿什利·麥迪遜散列使用純文本密碼泄露的列表從2009年的游戲發(fā)行商契機(jī)�����。
五天之后他設(shè)法破解只有4000散列。這是0.06% 灰鴿子�����。
研究者從殺毒廠商停住嘗試并讓他們hash-cracking鉆機(jī)運(yùn)行兩周��。結(jié)果:26994密碼恢復(fù),其中只有1064人是獨(dú)特的,由單個(gè)用戶使用���。
眾人矚目的焦點(diǎn)'團(tuán)隊(duì)意識(shí)到,試圖強(qiáng)行bcrypt散列不會(huì)讓他們進(jìn)一步,所以他們開始尋找可能的錯(cuò)誤密碼是如何處理在網(wǎng)站上�����。
一個(gè)變量$ loginkey激發(fā)了他們的興趣��。研究小組發(fā)現(xiàn)兩個(gè)位置的代碼生成,但是在稍微不同的方法��。
在生成一個(gè)實(shí)例loginkey美元賬戶的創(chuàng)建和定義為MD5哈希另外兩個(gè)變量:一個(gè)用戶名和一個(gè)持球bcrypt散列的用戶的密碼。
這使團(tuán)隊(duì)不知道密碼變量一直被定義為密碼的哈希���。挖掘老代碼更改他們發(fā)現(xiàn)在2012年6月之前,變量實(shí)際上是使用用戶的明文密碼���。
還發(fā)現(xiàn)當(dāng)阿什利·麥迪遜開發(fā)商后來bcrypt散列實(shí)現(xiàn)的,他們沒有打擾再生loginkey變量對(duì)于早期用戶。
“這意味著我們可以破解帳號(hào)創(chuàng)建在這個(gè)日期之前與簡(jiǎn)單的咸MD5,”研究小組在一篇博客文章中說�����。
同時(shí),舊代碼轉(zhuǎn)換小寫字母的密碼在使用它之前,減少可能的字符密碼到26,使其更快的蠻力,他們說�����。
美元的第二個(gè)實(shí)例loginkey代使用用戶名、密碼和電子郵件變量,加上一個(gè)常數(shù)��。
使用這種方法生成loginkey美元當(dāng)用戶修改賬戶屬性,用戶名��、密碼或電子郵件��。
然而,在第一種情況下,它沒有總是bcrypt密碼散列密碼變量��。這意味著眾人矚目的團(tuán)隊(duì)現(xiàn)在可以恢復(fù)賬戶密碼被修改之前2012年的代碼更改��。
通過創(chuàng)建規(guī)則中MD5哈希的破解程序,生成團(tuán)隊(duì)設(shè)法安全地隔離,2012年后,loginkey變量的不安全的�����。
僅僅幾個(gè)小時(shí)后,他們已經(jīng)破解了260萬密碼,幾天之后,1120萬年���。
Avid Life傳媒,公司擁有AshleyMadison.com,沒有立即回復(fù)記者的置評(píng)請(qǐng)求�����。
這一問題,提出了一個(gè)非常重要的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)大量阿什利·麥迪遜的用戶可能會(huì)對(duì)其他網(wǎng)站使用相同的密碼并沒有改變它���。
過去違反顯示密碼重用是猖獗的在互聯(lián)網(wǎng)上���。
事件的其他開發(fā)人員也應(yīng)該作為一個(gè)教訓(xùn):當(dāng)你實(shí)現(xiàn)一個(gè)新的安全特性在你的網(wǎng)站或應(yīng)用程序,確保它是適用于每個(gè)人,不僅僅是新用戶。 |
|
加載中...
發(fā)表于 2015-9-11 14:00:58
QQ好友和群
收藏
發(fā)表于 2015-9-27 15:25:06