从LinkedIn泄漏的密码的分析表明用户既需要复杂的密码又需要唯一的密码
正在进行的分析显示,LinkedIn密码的泄漏表明,在线服务的用户应选择唯一且复杂的密码才能访问云服务。自6月6日发现盗窃案以来,安全咨询公司KoreLogic一直在分析从面向业务的社交网络获取并发布到在线论坛的密码列表。像之前对泄露的密码进行的分析一样,该公司发现许多人没有选择好的密码,这是LinkedIn这类漏洞的主要缺陷,在该漏洞中,可以通过蛮力方法轻松地解密密码。
从社交网络泄漏的密码哈希列表包括大约650万个唯一的密码哈希。每个哈希代表一个唯一的密码,并使用难以逆转的算法通过扰乱字符串,数字和符号来保护秘密。但是,对于LinkedIn,该公司没有使用额外的随机输入或盐,这会使哈希变得更加强大。结果是可以快速找到常见的密码模式。
KoreLogic高级安全顾问Rick Redman说:“登录网站时,您不知道他们是否使用MD5,也不知道他们是否使用SHA-1。” MD5不再被认为是一种强大的哈希算法,因为已经找到了打破密码哈希的方法。LinkedIn必须使用SHA-1,以使其安全性最大化。
雷德曼说,总共总共将近80%的密码已被解密。他说,用户需要期望自己的密码将被泄露,并采取措施保护所有帐户。他们应该选择复杂的密码来阻止暴力攻击,并选择唯一的密码,这样一个受感染的帐户就不会导致另一个帐户被盗。
他说,偶尔更改密码的用户的数据表明,该列表的泄漏发生在大约六到七个月前。攻击者花了所有时间来攻击列表,并找到弱密码,如果这些密码重用,则可以在其他帐户上利用。
雷德曼说,密码列表还有一些有趣的特征。尽管有大约650万个哈希,但是由于许多人使用许多常见的弱密码,所以某些哈希可能代表多个用户。
雷德曼说:“如果'linkedin1'是某人的密码,它只会出现在列表中一次。”他估计,该列表可能代表了1200万用户。
此外,还有一个谜团仍然悬而未决:一半以上的哈希以五个零开始,这种模式不是随机的。雷德曼说,此外,这些哈希表示的密码更容易破解。他使用模式解密了92%的哈希,而没有模式解密了仅65%的哈希。
雷德曼说:“最大的问题是那些零。” “那是一件事没有答案。”
KoreLogic在拉斯维加斯的Defcon黑客大会上举办年度密码破解比赛。