研究人员透露,Adobe已经证实十月份的数据泄露事故中有数百万密码被盗,这些密码最初未按照行业最佳实例来保存。密码的加密方式很容易被破解。
在CSO发出的声明中,Adobe证实了Ars Technica上周五披露的一些细节信息,Adobe表示,十月份被盗的密码并未通过哈希加密,只是经过了普通的加密,这意味着Adobe工程师在密码保护方面并未按照业内公认的最佳实例来操作。
在密码存储和保护方面,常见的最佳实例是使用设计好的密码保护算法,首选的算法有bcrypt,scrypt,PBKDF2或SHA-2。之所以使用这类运算法则保护密码是因为部署这类法则后,强力破解密码几乎成为不可能的任务。如果在这些算法的基础上,在根据哈希加盐法处理,破解的难度进一步增加。事实上,当密码没有进行合适的哈希加密处理时,任何组织都可能出现“敏感数据暴露”(OWASP十大安全隐患之中排名第六)的问题。
Adobe称,验证系统升级后,他们采用SHA-256加盐法保护客户密码,所以他们用最佳实例的操作进行密码存储和保护已有一年之久。不过,这种升级的系统并不是黑客攻击的那个。
“该系统并不是2013年10月3号这次攻击的对象。被攻击的验证系统原本要退役的备份系统。被攻击的系统使用Triple DES加密保护所有保存的密码信息,”Adobe新闻发言人Heather Edell对CSO透露。
用Triple DES保护密码,与传统最佳实例背道而驰,因为依据其密码的加密方式,如果黑客猜出密钥,就能复原密码。不过直接攻击3DES并非易事。所以,Adobe的方法给那些试图破解被盗密码清单的人制造了障碍,他们目前尚未破解成功。
此清单包含1.3亿Adobe账户,对清单的消极检测依据反映出一些有意思的数据。Stricture Consulting集团的Jeremi Gosney根据一部分数据就可以编译出前一百的常用密码。
“最近的这次泄露事件有130,324,429位用户受到影响,我们还未掌握Adobe为他们密码加密的密钥。不过,由于Adobe在哈希基础上选择对称密钥加密,选用ECB模式,而且每个密码使用相同密钥。再结合大量已知纯文本和用户在密码提示中慷慨给出的信息,这就不难让我们总结出这一百个Adobe用户最常用的密码了。”
从这个“一百个常用密码清单”来看,将近190万用户使用“123456”作为密码,超过44万名用户选择用“123456789”做密码。然后就是“password”,“adobe123”和“12345678”。这五个密码是最常用的。
这次事件泄露的账户中,很多人使用的密码都非常随意,可以看出他们的Adobe账户对他们而言并不重要。不过,每个人都有自己的习惯,所以循环使用同一个密码可能导致这些人的电子邮箱地址被暴露。
如果你想看看自己的电子邮箱是否在网传的Adobe泄露数据中,可以到这里了解(http://adobe.cynic.al/)。如果你的邮箱已经暴露,请尽快更改密码,而且对任何与Adobe泄露事件有关的联系信息都长个心眼。
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/134187.html<
