拉菲1娱乐

拉菲1娱乐


文化传媒

拉菲1娱乐 > 文化传媒 > 为什么你应该拿被黑客攻击的网站半信半疑地保证密码

为什么你应该拿被黑客攻击的网站半信半疑地保证密码

日期:2018-06-19 阅读 23

信誉. com是一项帮助人们和公司管理负面搜索结果的服务,它遭到了安全漏洞的破坏,暴露了用户名、电子邮件和物理地址,在某些情况下还暴露了密码数据。加州雷德伍德市公司的官员周二在发给用户的一封电子邮件中说,密码是高度加密的(加盐和散列),这是一个非常模糊的描述,对不同的人来说可能意味着不同的事情。虽然这些密码极不可能被解密,但我们立即更改了每个用户的密码,以防止任何可能的未经授权的帐户访问,电子邮件添加得令人难以置信。

不幸的是,公司做出这样的保证,因为它们可能会给用户一种错误的安全感。Ars已经报道了9个月,破解技术的进步意味着平均密码从未变弱,攻击者甚至可以破解长密码,密码中包含数字、字母和符号。甚至Ars own Nate Anderson——一个自称是破解密码新手的人——也能用他在线下载的软件和词典破解了17000个散列列表中的45 %以上。狭窄咨询集团密码破解专家Jeremi Gosney最近在Ars论坛帖子中解释说,泄露的密码列表不被破解是非常不寻常的,就像名誉网站电子邮件所建议的那样。

这肯定取决于我们所说的具体泄漏,但一般来说,你的一般安全专家/渗透测试人员/临时密码破解者在任何给定泄漏中最多只能恢复50 - 60 %的密码。”他写道。经验丰富的密码破解程序可能会恢复70 - 75 %;真正出色的密码破解程序将恢复80 %或更多。

在密码中添加加密盐对于密码的安全存储至关重要,因为它迫使密码破解程序猜测每个散列的明文,而不是同时猜测数千或数百万散列的密码。(是的,它也阻止了彩虹表攻击,但是没有人再使用这种方法了。)但是很容易夸大腌制的好处。它绝不会减缓单个散列的破解,因此如果攻击者找到属于特定高值信誉. com用户的散列,则该措施不会阻止该散列的破解。单独使用salting的安全值只能使大型列表的破解速度减慢数倍于唯一盐的数量,因此值会随着解码的每个散列而减小。

更有意义的安全措施是用于将明文密码转换为加密哈希的算法类型。如果公司使用SHA1、SHA3、MD5或任意数量的其他 fast hashes,极有可能至少部分泄露的密码数据已经被破解。另一方面,如果公司使用bcrypt、scrypt、pbkd F2或专门设计用于散列密码的另一种 slow 算法,则机会显著降低。信誉网没有提到它使用的算法,所以用户应该假设最坏的情况。任何人使用他们的信誉. com密码来保护其他网站上的一个或多个帐户,都应该立即更改这些密码。密码应由密码管理器随机生成,至少包含11个字符,并包括数字、字母和符号。它们对于每个站点也应该是唯一的。

要深入了解盐析和散列的好处,请参阅上周六livinsocial . com遭受密码破解的故事。一些用户的评论特别有启发性。