如果搜索“Hash Hunters”,就会出现出售大麻主题的t恤。它还提出了一种密码破解外包服务,可以用比特币支付。
由于担心数据泄露,Web服务通常存储密码的散列值或密码的加密表示,这些密码已经由算法处理过。
在黑客手中,除非它们能被转换回原来的密码,否则这些散列就毫无用处。这就是哈希猎人的用武之地。
哈希的猎人允许用户发布他们的哈希值,并为转换哈希值的人提供奖励。它不是第一个接受这种外包工作的网站,但它可能是少数几个只使用比特币的网站之一使用假名的虚拟货币作为其唯一的支付方式。
该公司首席执行官杰里米·戈斯尼(Jeremi Gosney)说,这项服务可能只会吸引犯罪人群狭窄咨询集团该公司专门从事与密码相关的安全产品和服务。他说,大多数调查网络和系统弱点的专业安全专家都不允许使用这类基于网络的服务。
“我们考虑过做一个类似的服务(也包括比特币),但很难想出一个合法的用例,”戈斯尼在电子邮件中说。“这就是为什么我们放弃了这个计划。我们仍然提供付费密码恢复服务,但这是一项专业服务。”
戈斯尼写道,散列猎人有点粗鲁。它不使用“https”,后者是一种标准的安全技术,对客户机和服务器之间的通信进行加密。
Gosney在Hash Hunters上创建了一个账户,他说合同密码破解者似乎没有可靠的方式与客户沟通,网站偶尔会崩溃,似乎无法上传被破解的密码。
域名hashunters.net是根据提供域名注册信息的Whois数据库于6月25日创建的。一个Facebook页面因为该网站似乎是在8月29日创建的。
尽管从Whois记录来看,该域名与总部位于德国的Seotecs UG搜索引擎优化公司有关,但联系该域名所有者的努力未能成功。
已经提交了相当多的哈希值,这些哈希值根据生成它们的算法类型进行标记:MD5、SHA1、SHA224、SHA384。Hash Hunters公布的最高奖励是MD5哈希交易获得1.585比特币,根据Mt. Gox比特币交易所周四的市场价格,这相当于209美元。
多年来的大规模数据泄露已经产生了数以百万计的哈希值,其中许多哈希值已经被转换为原始密码,用于研究密码安全性的项目。参考这些列表通常是试图破解一个难题的第一步。
如果没有匹配,可以使用解码工具和强大的图形处理器来尝试隐藏它。通常,密码越长越复杂,就越难破解。蛮力尝试创建不同的单词、数字和符号组合,希望生成匹配的哈希。但这需要很长很长的时间。
犹他谷大学(Utah Valley University)研究密码的信息安全兼职教授凯文·杨(Kevin Young)通过电子邮件表示,在IRC即时消息渠道上,有人会免费破解密码。
“这是一种挑战,是狩猎的刺激,”杨写道。
哈希猎人的效用取决于你有多渴望破解密码,他说。“如果你正在寻找女友笔记本电脑的密码,想四处窥探,这可能不值得。如果一个心怀不满的员工辞职,并修改了你网络基础设施的密码,那一切都是值得的。”
发送新闻提示和评论到jeremy_kirk@idg.com。在Twitter上关注我:@jeremy_kirk