|
所有公司都应该认识到,就算用户密码被hash过,但发生信息泄露以后,用户应该立即更换密码,特别是那些在不同网站,却用相同密码的用户。黑客通常能从被暴库的密文中,破解60%~90%的密码。 必须承认,采用「掺盐」hash用户密码的的网站确实能减缓大量hash信息被破解速度,但「掺盐」并不能阻挡对单个hash密文和少量密文的破解,换句话说,如果黑客针对的是具体的某个帐户,比如银行经理,某位名流,「掺盐」也无能为力。 这三位黑客的高超技艺,也指出用户需要加强自己的密码保护意识。许多世界500强企业,都对雇员邮件帐号,和访问公司网络的密码有严格的规定,这大大增加了黑客攻击的难度。 「在企业行业领域,这确实不容易」,radix说道,「当我给一家企业做密码安全漏洞检查的时候,那简直了,我可能跑三天三夜也得不到一个字符。」 如果网站可以像那些大企业一样采取相同的安全策略,那用户密码就会安全很多。但这对于用户来说,要去记住11位的随机密码确实有点痛苦。
黑客破解hash密文的效率,与网站得知用户信息被泄露以后的反应,形成鲜明的对比。就在上个月,LivingSocial披露黑客攻破了他们的数据库,暴出了了5千万个用户姓名,地址和密码信息的hash内容,但网站负责人显然低估了这所带来的风险。 网站CEO Tim说:「虽然用户的密码已经被加密,而且很难被破解,我们的预防措施也能保证用户的数据是安全的,但我们还是通知大家,更新自己的网站密码」。 事实上,几乎没有什么能阻止黑客去解密hash信息。LivingSocial所用的SHA1算法,在黑客面前不堪一击。虽然他们也宣传用户的hash是被「掺盐」的,这也无法保证用户信息的安全。 由此课件,Intel最近上线的一个网站,宣称能测试你的密码强度,是多么的不靠谱,它竟然评估说「BandGek2014」需要6年时间才能被破解,可笑 的是,这个密码可能在黑客手里,大概是被首先拿下的。问题的关键在与,大部分网站的密码强度要求,正好落在黑客的能力范围之内。 「你们已经看到了,我们在1小时之内破出了82%的密码,意味着有13,000人没有选择一个好密码,他们总以为自己选了一个好密码,但正相反,那些密码太糟糕了」。
|
