首页
 

新闻中心

pk10六码必中规律 > 新闻中心 > 800万个泄露的密码连接到LinkedIn交友网站

800万个泄露的密码连接到LinkedIn交友网站

点击:28时间:2018-06-27

一名身份不明的黑客在互联网上发布了800多万个密码散列,这些散列似乎属于LinkedIn和一个单独的流行交友网站的用户。

过去三天的大量转储是在insidepro . com专门针对密码破解的用户论坛上发布的。这两个列表中较大的一个包含近六百四十六万个密码,这些密码已使用SHA - 1加密功能转换为哈希。他们不使用密码盐,使得破解它们的工作大大加快。擅长破解密码的安全顾问里克·雷德曼说,名单几乎肯定属于LinkedIn,因为他在名单中找到了专业社交网站独有的密码。Errata Security的CEO罗伯特·格雷厄姆和索弗斯的研究人员说了很多相同的话。一些Twitter用户报告了类似的发现。咨询公司Kore Logic Security的Redman告诉Ars说:“

我的[ LinkedIn ]密码在里面,我的密码是20多个字符,是随机的”。LinkedIn的注册用户超过1.6亿,这个列表可能只是一个小的子集,最有可能是因为获得它的人破解了最弱的用户,只发布了他需要帮助的用户。

很明显,不管是谁,坏人都破解了简单的,然后贴上这些,说: 这些是我破解不了的, Redman说。他估计,在过去的24小时里,他已经破解了大约55 %的散列。我觉得人多了。只是这些是他们似乎得不到的。

更新2 : 01 pm PDT :在这篇文章发表后发表的博客文章中,LinkedIn官员证实一些被泄露的密码与LinkedIn帐户相对应并表示正在进行调查。该公司已开始通知已知受影响的用户,并实施增强的安全措施,包括散列和对当前密码数据库进行盐析。

两个列表中较小的一个包含大约150万个未加密MD5哈希。根据迄今破解的明文密码,它们似乎属于一个流行的约会网站,可能是eHarmony的用户。统计上有显著百分比的用户定期选择密码来标识托管其帐户的站点。较小列表中至少有420个密码包含字符串 eharmony 或 harmony。

Ars看到的散列列表不包括相应的登录名,使得人们无法使用它们来获得对特定用户帐户的未经授权的访问。但可以肯定的是,获得这份名单的黑客可以获得这些信息,如果在地下论坛上也可以获得这些信息也不会令人感到意外。ars读者应该立即更改这两个站点的密码。如果他们在单独的网站上使用相同的密码,也应该在那里更改。

eHarmony官员没有立即回应置评请求。

InsidePro帖子提供了集体密码破解运动的一瞥,这是一个人们聚集在一起汇集专业知识、有时是大量计算资源的论坛。

请帮助取消对[这些)哈希的锁定一个用户名为DWDM的人在6月3日的一篇包含150万个哈希的帖子中写道。所有密码都是大写的。

不到两个半小时后,一个用户名为zyx4cba的人发布了一份名单,其中包括近120万人,占总名单的76 %以上。两分钟后,用户LorDHash独立破解了122多万个密码,并报告约120万个密码是唯一的。截至周二,在其他几个用户的贡献下,仅剩下98013个未压缩哈希。

当论坛成员忙于破解该列表时,DWDM周二上午发布了Redman等人认为属于LinkedIn用户的更大的列表。“伙计们,需要你们[再来一次帮助。”DWDM写道。周三上午撰写本报告时,对该名单的集体破解仍在继续。Redman通过识别大名单中的密码模式表示,很明显,这些密码是由习惯于遵循大企业执行的政策的人选择的。也就是说,许多密码包含大写字母和小写字母和数字。这也是他早先怀疑密码源自LinkedIn的另一个原因。

这些人都是商人,所以他们中的很多人都像在商界那样做,他解释道。他们不必使用大写字母,但可以。我们看到的很多模式都比较复杂。我破解了一个15个字符的键盘,它正好是键盘的最上面一行。

已更新文章,以添加勘误表安全博客帖子的链接,并更正百分比雷德曼破解了密码时代。

关闭