导读 EHarmony证实,其近150万用户的密码被黑客窃取,更具体地说,是哈希密码。这个受欢迎的约会网站可能是周三破坏Linked In的密码数据库的
EHarmony证实,其近150万用户的密码被黑客窃取,更具体地说,是哈希密码。这个受欢迎的约会网站可能是周三破坏Linked In的密码数据库的同一黑客的受害者。
建议eHarmony或Linked In的任何用户,无论其帐户是否被锁定,都应立即更改其密码。
尽管eHarmony用160位SHA-1加密他们的用户凭证很有意义,但他们并不轻视这些密码散列。虽然160位加密在理论上是黑客难以逾越的障碍,但如果没有salt或HMAC提供的额外混淆层,SHA-1密码将变得非常容易受到即使是最简单的基于字典的攻击。不管某些类型的加密标准(如SHA-1和MD5)的密码强度如何,这个事实是正确的。
简单的用Google破解常见的MD5密码哈希,就可以清楚的看到密码哈希的潜在危险。不幸的是,这个简单的方法也适用于SHA-1。
昨天,在黑客上传的一个265MB的密码hash dump中,发现了“linked in”、“L1 linked in”、“linkedout”、“recruiter”等SHA-1的密码值。这一发现虽然不确定,但部分证实了近650万个密码哈希的列表属于Linked In。Linked In后来确认确实有部分用户的凭证被盗,并重置了这些账户的密码。
记住这一点,像“eharmony”这样的隐含密码也可以在同一个文件中找到。投机者现在推测,同样巨大的文本文件中可能还包含eHarmony甚至其他网站的密码。
标签:
免责声明:本文由用户上传,如有侵权请联系删除!