密码泄露对您意味着什么(FAQ)

2019-08-11 04:31:38 来源:网站建设(深圳网站建设)

斗牛牛 三家公司在过去24小时内警告用户,他们的客户密码似乎在互联网上流传,包括黑客吹嘘破解他们的俄罗斯论坛。我怀疑会有更多公司效仿。 想知道这一切对你意味着什么?请继续阅读。 究竟发生了什么? 本周早些时候,在提供密码破解工具的InsidePro.com上的俄罗斯黑客论坛上发现了一个文件,其中包含650万个密码,另一个包含150万个密码。有人使用句柄“dwdm”发布了原始列表并要求其他人帮助破解密码,根据论坛帖子的截图,该帖子线程已经脱机。密码不是纯文本,但是被称为“散列”的技术模糊了。密码中的字符串包括对LinkedIn和eHarmony的引用,因此安全专家怀疑他们来自这些网站甚至在公司昨天确认他们的用户密码被泄露之前。今天,Last.fm(由CNBS的母公司CBS拥有)也宣布其网站上使用的密码是泄露的。 什么地方出了错? 受影响的公司尚未提供有关其用户密码如何被恶意黑客窃取的信息。到目前为止,只有LinkedIn提供了有关用于保护密码的方法的任何详细信息。 LinkedIn表示使用SHA-1散列算法隐藏了其网站上的密码。 如果密码被哈希,为什么它们不安全? 安全专家表示,LinkedIn的密码哈希也应该“腌制”,使用的术语听起来更像是我们谈论的是南方烹饪而不是加密技术。使用自动强力工具将纯文本密码转换为哈希值,然后检查哈希是否出现在密码文件中的任何位置,仍然可以使用自动强力工具破解未加盐的密码。因此,对于常见密码,例如“12345”或“密码”,黑客只需破解代码一次即可解锁使用相同密码的所有帐户的密码。 Salting通过在密码被散列之前在密码中包含一串随机字符来增加另一层保护,这样每个字符都有一个唯一的散列。这意味着黑客将不得不单独尝试破解每个用户的密码,即使有很多重复的密码。这增加了破解密码的时间和精力。 该公司表示,拼三张LinkedIn的密码已被删除,但并没有被腌制。根据LinkedIn今天下午发布的博客文章,由于密码泄露,该公司现在正在对存储密码的数据库中的所有信息进行腌制,该文章还表示他们已经警告更多用户,并联系警方了解这一漏洞。与此同时,Last.fm和eHarmony尚未透露他们是否对其网站上使用的密码进行了散列或腌制。 为什么存储客户数据的公司不使用这些标准的加密技术? 这是个好问题。我问密码学研究的总裁兼首席科学家Paul Kocher,他是否有经济或其他抑制因素,他说:“没有成本。如果那样,可能需要10分钟的工程时间。”他推测,执行该实施的工程师“并不熟悉大多数人的做法”。我问LinkedIn为什么他们之前没有加密密码,并且被引用到这两个博客文章:这里和这里,它们没有回答这个问题。 除了密码学不充分外,安全专家表示,这些公司应该更好地加强他们的网络,以便黑客无法进入。这些公司还没有透露密码是如何被泄露的,但鉴于涉及大量账户,可能有人破产了进入他们的服务器,可能是利用漏洞,抢夺数据,而不是由于一些成功的大规模网络钓鱼攻击。 我的用户名也被盗了吗? 仅仅因为与密码相关联的用户名未发布到黑客论坛并不意味着他们也没有被盗。实际上,帐户数据(如用户名和密码)通常存储在一起,因此黑客很可能知道登录受影响帐户所需的一切。 LinkedIn不会说用户名是否被公开,但是说电子邮件地址和密码用于登录帐户,并且没有发布与密码相关的电子邮件登录,他们知道。此外,该公司表示,由于违规行为,未收到任何未经授权访问任何会员帐户的“经过验证的报告”。 我该怎么办? LinkedIn和eHarmony表示他们已经在受影响的帐户上禁用了密码,并会跟进一封电子邮件,其中包含重置密码的说明。 LinkedIn电子邮件不会包含直接链接到网站的链接,因此用户必须访问斗地主
PREV   NEXT