|
|
阿什利·麦迪逊编码失策让超过1100万密码容易被破解 灰鸽子使用教程,远程控制软件
网站的开发人员忘记了早期用户三年前当他们实现强大的密码散列
直到今天,砍AshleyMadison.com的创建者不忠的网站似乎至少做了一件事情:保护用户密码的哈希算法。
信念,然而,被一群爱好者痛苦地反驳了密码破解者,灰鸽子下载。
个团队,称为指针'筛选了阿什利·麦迪逊源代码被黑客网站上发现一个主要错误密码是如何在网站上处理。
他们声称,这允许他们裂纹超过1100万的3600万密码散列存储在网站的数据库,这也被泄露。
几周前这一壮举似乎是不可能的因为安全专家很快发现阿什利·麦迪逊的泄露数据存储的密码散列形式——共同安全实践——使用一个叫做bcrypt密码功能。
哈希是一种单向加密。一个清晰的文本字符串,就像一个密码。
通过一种算法运行,通常多次,为了生成一个独一无二的字符串作为其代表。这个过程并不应该是可逆的,除非该算法是有缺陷的。
然而,复苏的原始密码散列有时可能通过使用蛮力的方法。这被称为哈希开裂,涉及到大量的运行可能通过相同的密码算法,用于生成原始散列和寻找匹配。
这些努力的成功取决于许多因素:使用哈希函数的类型,它的实现,是否额外的秘密值称为盐被添加到密码,密码本身的复杂性和可用的硬件资源。
Bcrypt计算量比一些其他功能,如MD5,这有利于性能在强力保护。
此外,开发人员使用的阿什利·麦迪逊12的成本因素在他们的实现中,这意味着每一个可能的密码攻击者想要测试需要经过4096轮的散列。
和一个中等身材的字典——这使得开裂,甚至是一组常见的密码,和一个非常强大的硬件平台,非常缓慢。大字典发现匹配的可能性越大,但越慢的过程。
安全专家叫院长皮尔斯试图在第一个600万年阿什利·麦迪逊散列使用纯文本密码泄露的列表从2009年的游戏发行商契机。
五天之后他设法破解只有4000散列。这是0.06% 灰鸽子。
研究者从杀毒厂商停住尝试并让他们hash-cracking钻机运行两周。结果:26994密码恢复,其中只有1064人是独特的,由单个用户使用。
众人瞩目的焦点'团队意识到,试图强行bcrypt散列不会让他们进一步,所以他们开始寻找可能的错误密码是如何处理在网站上。
一个变量$ loginkey激发了他们的兴趣。研究小组发现两个位置的代码生成,但是在稍微不同的方法。
在生成一个实例loginkey美元账户的创建和定义为MD5哈希另外两个变量:一个用户名和一个持球bcrypt散列的用户的密码。
这使团队不知道密码变量一直被定义为密码的哈希。挖掘老代码更改他们发现在2012年6月之前,变量实际上是使用用户的明文密码。
还发现当阿什利·麦迪逊开发商后来bcrypt散列实现的,他们没有打扰再生loginkey变量对于早期用户。
“这意味着我们可以破解帐号创建在这个日期之前与简单的咸MD5,”研究小组在一篇博客文章中说。
同时,旧代码转换小写字母的密码在使用它之前,减少可能的字符密码到26,使其更快的蛮力,他们说。
美元的第二个实例loginkey代使用用户名、密码和电子邮件变量,加上一个常数。
使用这种方法生成loginkey美元当用户修改账户属性,用户名、密码或电子邮件。
然而,在第一种情况下,它没有总是bcrypt密码散列密码变量。这意味着众人瞩目的团队现在可以恢复账户密码被修改之前2012年的代码更改。
通过创建规则中MD5哈希的破解程序,生成团队设法安全地隔离,2012年后,loginkey变量的不安全的。
仅仅几个小时后,他们已经破解了260万密码,几天之后,1120万年。
Avid Life传媒,公司拥有AshleyMadison.com,没有立即回复记者的置评请求。
这一问题,提出了一个非常重要的网络安全风险大量阿什利·麦迪逊的用户可能会对其他网站使用相同的密码并没有改变它。
过去违反显示密码重用是猖獗的在互联网上。
事件的其他开发人员也应该作为一个教训:当你实现一个新的安全特性在你的网站或应用程序,确保它是适用于每个人,不仅仅是新用户。 |
|
加载中...
发表于 2015-9-11 14:00:58
发表于 2015-9-11 14:01:13