個資被洩露在網路上,就已經夠慘了,現在駭客變本加厲,將偷情網站 Ashley Madison 用戶的密碼,也一併曝光。
《CNNMoney》報導,破解密碼團體 CynoSure Prime,分析了洩漏 Ashley Madison 個資之駭客所公布的資料,發現該網站針對用戶加密的方法有大問題,因此洩漏了其中 1,100 萬用戶的密碼。
CynoSure Prime 發現了網站替其中 1,500 萬用戶(約為總用戶數 3,200 萬的一半)加密的方法,出了兩個奇怪的紕漏:其一,它們將密碼全部改為小寫、其二,它們使用的是最弱的加密方法。
兩者皆大錯特錯。
舉例來說,如果你在 Ashley Madison 的密碼是「Password」,網站會將其轉換成「5f4dcc3b5aa765d61d8327deb882cf99」。相信與否,這種密碼非常容易破解。如果正確加密的話,「Password」會轉換成「$2a10$ci9jdQQRdTe4U2wIncJt9uRs.HKatci/30iJcXDzsfqtX4APwTaLS」,這就複雜得多,且幾乎難以破解。
CynoSure Prime 表示,Ashley Madison 的加密法,被破解的速度快過正常版 100 萬倍。至於為何Ashley Madison 對一半用戶用的是正常加密法,另一半用戶則便宜行事,仍是未知數。Ashley Madison 母公司 Avid Life Media 發言人,拒絕回應相關問題。
CynoSure Prime 並不是唯一破解 Ashley Madison 密碼的團體,資安公司 Avast 也不忘補刀,透露了2.7 萬個密碼。
Avast 提供了許多最常為該網站用戶使用的密碼,當中許多與問候娘親有關,且兒童不宜。至於可以在網站上透露的前五名,則包括 123456、password、12345、2345678、qwerty。其他常見的則為「secret」、「Helpme」、「midnight」,很有趣的是「yamaha」也在列。
超常見密碼的一個問題,在於它很容易被猜透。更慘的是,許多人常所有帳戶都用同一個密碼。因此,知道你 Ashley Madison 密碼的駭客,可以很容易的就潛進你的網銀、Gmail 及臉書帳號。
這可不是什麼好事。
沒有留言:
張貼留言