您的位置:首页>>电脑软件

揭秘网站密码保护:黑客一秒测试百万条密码

发布时间:2012-06-11 08:53:10  来源:搜狐IT    背景:

  北京时间6月11日消息,据《纽约时报》报道,LinkedIn是一家数据公司,但它没有保护好自己的数据。

  上周,黑客攻破网站,窃取600万用户密码,这些密码保护不周。密码被公布在俄罗斯黑客论坛上,人人可以看见。LinkedIn被攻击并非所有人都吃了一惊。每天,企业电脑系统都要受到攻击。实际上,CBS音乐网 Lastfm.com和约会网站eHarmony上周也受到攻击,数百万密码被偷。

  LinkedIn漫不经心

  让客户和安全专家吃惊的是,以收集大量数据并靠它盈利的企业,数据保护方式如何之简单。泄露事件使得人们开始怀疑LinkedIn的电脑安全。尽管入侵不断增加,但一些拥有客户数据的企业仍然继续在自有电脑安全上下赌注。

  旧金山电脑安全公司 Cryptography Research克歇尔(Paul Kocher)说:“如果它们请教那些知道密码安全一切详情的人,这事就不会发生。”

  之所以造成这样的问题,部分原因在于漫不经心的数据保护态度,因为造成严重后果十分罕见。没有法律上的罚款。客户很少流失。以LinkedIn为例,在泄露之后它的股价实际上上涨了。

  真正让大家担心的问题在于LinkedIn不是一家创业公司,也不是一家对数据不熟悉的企业。去年5月,它成功IPO,它拥有大量现金,它招聘高级人才,而且盈利。它有1.6亿会员,这些人分享自己的企业关系,希望建立一个更宽广更有效的网络。他们希望自己的网络受到保护。

  Buzzmedia专业音乐家、产品经理史密斯(Craig Robert Smith)说:“我希望LinkedIn做得更好些。但我没有删除帐号,因为它是一个与被招募、网络有关的网站。”目前尚不清楚黑客如何攻入系统的,也不知道它们在系统中呆了多长时间。LinkedIn没有设置首席安全官,让他监督泄露事件。公司的运营资深副总裁大卫·亨特(David Henke)兼管安全问题,还有其它职责。

  黑客一秒测试一百万密码

  如果按A级至F级来评价,最高级为A级,专家说LinkedIn、eHarmony和Lastfm.com最多可以拿D级。对待用户密码,公司最大意的地方在于将它以纯文本形式存储。RockYou在2009年时被窃取300万用户密码,就是属于这种失误。为了保护密码,最基本的一部保护措施就是进行基本加密,也就是所谓的“散列法”,用一种数学算法对密码进行掩饰,然后用编码进行存储。

  不过,黑客通过自动工具,能在一秒测试一百万密码。它们可以破解散列密码,一般是利用所谓的字典、敏感在线通用密码数据库破解。一些网站包涵外文子表,甚至是宗教式的密码(比如天使angel,神God,这些在破解的LinkedIn密码中排在前15位)。还有一些黑客使用“彩虹表(rainbow tables)”来破解,上面例有几乎所有数字字母字符组合哈希值表。一些网站会公布500亿哈希值。

  为了防止黑客破解,一些公司会采用一系列的随机数,将它们添加在每个哈希值后,也就是所谓的“salting”,这种技术可以随机颠倒私有密钥的数字,它只需要几行代码,几乎没有任何成本。

  安全专家称,对密码进行salting是安全手册第一条,但LinkedIn、eHarmony和Lastfm.com都没有这样做。在A+级安全级别中,会设置散列密码、拥有复杂的暗号功能,进行salting,再将结果转成散列密码,将授权证书另外存放,确保服务器不能被黑客攻入。

  克歇尔说:“这不是什么复杂的事。”

  后果

  在泄露之后,Linked一位高管维森特·圣卡塔林纳(Vicente Silveira)在博客中说,公司已经将一般性密码无效化,并说会员会受益于增强的安全措施,这些措施包括将密码散列化,并对目前的密码数据库进行salting。LinkedIn新闻发言人没有透露何时对密码进行散列化、salting化,也没有解释为何不在一开始就使用。

  表面来看,安全性一般的LinkedIn帐号泄露不会有会大的恶果。但是黑客深知用户的心态,他们会在许多网站用相同的密码,他们会在邮箱、银行、企业、佣金帐户上使用同一密码,这样一来,黑客可以盗取个人和金融数据。

  以LinkedIn为例,黑客贴出640万散列密码,让其它人协助破解。到周四,大约60%的密码已经被破解。克歇尔估计最终95%会破解。

  在博文中,LinkedIn指出与密码相关的用户名没有被展示出来,但安全专家称,这可能只是因为发布的网站将用户名自己留下来。

  格罗斯曼(Jeremiah Grossman)说:“你没有将王冠上的珍珠给别人,是为了让别人争夺。”

  升级安全 一次性成本几百万美元

  黑客的动机十分明显。但让安全专家真正感觉神秘的是为什么泄露会不断发生。格罗斯曼估计,对于像LinkedIn这样的公司来说,设立合适的密码、网络服务器、应用安全,一次性成本大约几百万美元。而据赛门铁克的研究指出,一宗泄露平均成本550万美元,也就是第条记录泄露成本194美元。

  格罗斯曼展示了两张表。一张是飞机每英里失事机率,现在已经掉到只有1945年时的千分之一,主要得益于1958年美国联邦航空管理局(Federal Aviation Administration)建立、并制定了更安全更严格的安全协定。还有一张表是电脑新安全威胁表,它的结果完全相反。自从2002年以来,新威胁增长了1万倍。

  克歇克及其它安全专家认为,问题在于缺少责任。电脑安全是不规则的,敏感的个人、企业、财务信息每天不断上传,企业不断跳过基本保护。如果美国明天有5%的飞机要出事,就会有调查、有诉讼、会削减航线、航空股也会重挫。但在社交网络,克歇尔说:“人们的投票没有跟上脚步。”

  自从周三泄露被公布以来,LinkedIn没有透露有多少用户退出服务,尽管黑客不断在努力破解密码,公司的股价到周末时仍上涨了4%。

  格罗斯曼说:“每次坠机FAA就会调查,数据也会不断披露。至于泄露就没有这回事。没有政府机构管。我们不知道哪里起火了,也不知道火是怎么来的。”

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页 本文来源:搜狐IT

本文评论
友情提示:评论功能暂时关闭,请扫描上方二维码进群交流!
谷歌Chrome浏览器测试新功能:解决爱吃内存问题
10月15日消息 谷歌Chrome浏览器是Windows上占用资源最多的应用程序之一,如果安装扩展程序或打开过...
日期:10-15
Safari浏览器欺诈网站警告功能引发用户隐私担忧
有用户发现,在苹果的Safari的隐私条款中有一个特别的条款。叫做 Fraudulent Webstie Warning ,欺...
日期:10-14
Mac终于和iTunes说再见了 那Windows用户呢?
macOS Catalina 的发布可能会减少 Mac iTunes 用户对苹果著名的臃肿的媒体管理和播放应用程序的抱怨...
日期:10-14
微软Windows 10更新助手存漏洞:黑客可执行系统级权限代码
10月12日消息 据外媒报道,Microsoft Windows 10 Update Assistant(微软Win 10更新助手)中的一个安...
日期:10-12
《中国机长》等国庆档大片叫座,手机观影当心中招木马病毒
“我和我的祖国,一刻也不能分割,无论我走到哪里,都流出一首赞歌……”王菲翻...
日期:10-12
PS和LR在苹果macOS Catalina上出现“兼容性问题”
macOS Catalina正式版已经推出多日,但如果你是PhotoShop和Lightroom的重度用户的话,建议你暂时不...
日期:10-09
删除的微信聊天记录怎么恢复?专业软件让恢复变得轻而易举
如果未来的某一天,我很不不幸的遭遇了车祸或者是其他意外,那我一定一定是不愿意死的,因为&hellip...
日期:10-08
苹果手机微信聊天记录怎么彻底删除?左滑删除只是掩耳盗铃!
苹果手机微信聊天记录怎么彻底删除?这个月苹果官网又推出新款手机苹果iPhone11Pro,很多土豪小伙伴...
日期:09-30
淘集集可以提现吗?如何提现?
随着越来越多人用淘集集app进行购物,也听说了淘集集购物返红包,甚至可以直接体现,这是真的吗?要怎么...
日期:09-29
如何用智能电视观看网盘内容?当贝市场一招搞定
智能电视上的视频内容很多时候无法满足我们用户需求,这时应该怎么办?当贝小编今天就给大家解答一下...
日期:09-29
Windows 10补丁KB4517210发布,升级1903版本更顺畅了
9月29日消息 Windows 10版本1903(2019年5月更新)正式准备进行大规模部署推送,并且微软现在正在推出...
日期:09-29
Mozilla的Firefox Nightly不再对TLS 1.0和TLS 1.1提供支持
Mozilla在最新的Firefox Nightly版本中已不再对TLS 1.0和TLS 1.1加密协议提供支持。此举是继苹果、...
日期:09-29
腾讯安全:IE浏览器曝远程执行代码漏洞 腾讯安全强势推出漏洞修复工具
近日,微软发布一例远程执行代码漏洞(CVE-2019-1367)漏洞修复补丁,攻击者可利用网页挂马和邮件进行...
日期:09-27
微信找回删除的好友,用回国倾力杰作万兴数据恢复
在物欲横流的时代,很多都市夫妻关系如履薄冰,对彼此之间处处设防。尤其是在夫妻关系里处于强势的一...
日期:09-26
如何让微信聊天记录无法恢复?专家建议做个全面彻底的删除!
如何让微信聊天记录无法恢复?在现在这个年代,微信现在已经是我们每一个人不可或缺的聊天工具之一,...
日期:09-26
Parrot 4.7发布,基于Debian的Linux发行版
Parrot Security OS是面向安全的操作系统,基于Debian,它被设计为用于渗透测试、计算机取证、反向...
日期:09-26
重磅!金山办公发布WPS Office 2019 for Linux “智能增强版”
9月19日,金山办公WPS旗下的办公软件版本又一力作:“WPS Office 2019 for Linux 智能增强版&r...
日期:09-25
海豚导图:逻辑思维能力将影响孩子一生
“不辅导作业母慈子孝,一写作业鸡飞狗跳”;不辅导作业血压正常,一辅导作业就变高血压;自...
日期:09-23
记录当下,感恩美好,Soul青年在身边小事中发现幸福
在被各种信息轰炸的互联网时代,我们每天花费着大量时间关注着这个世界发生了什么、正在流行什么,...
日期:09-20
8月百度网盘清理有害链接407万余条,百家号清理有害信息2.6万余条
9月20日,百度发布8月信息安全综合治理月报,向网民周知百度在处理网络虚假有害信息、保护网民权益...
日期:09-20
  专栏介绍
高玉强 的专栏
高玉强发表的文章
积分:
自我介绍 :