热门源代码库服务的GitHub最近已通过强力密码猜测攻击,成功地影响了一些账户的打击。
“我们发送了一封电子邮件给用户帐户被盗用,让他们知道该怎么做,” GitHub的安全工程师肖恩·达文波特在说博客文章。“他们的密码已重置和个人访问令牌,OAuth的授权和SSH密钥都被撤销。”
被建议用户查看其帐户的安全历史记录页面的登录尝试自己的信息库所做的或失败的最近变化,并实现双因素认证。
GitHub的存储密码安全地使用bcrypt功能,并使用一个积极的速率限制登录尝试具体地涉及块密码猜测攻击,达文波特说。然而,在最近这次事件近40,000独特的互联网协议地址“被用来在多个网站上使用慢慢蛮力弱口令或密码。”
这表明,攻击者可能采取列表的用户名和密码,从其他网站泄露和使用僵尸网络尝试一下,在GitHub上。
Adobe公司最近的数据泄露导致150万个用户的登录凭证的文件在互联网上被泄露。在该文件中的密码进行了加密,但研究人员说,由Adobe所使用的加密方法,使人们有可能为攻击者想许多的密码。
那有他们的密码重置的GitHub账户的确切人数尚未披露和GitHub上没有立即询问寻求澄清回应。
“出于谨慎的,一些用户账户可能已被重置,即使正在使用一个强壮的密码,”达文波特说。“对这些账户的活动,显示登录从参与这一事件的IP地址。”
GitHub的计划实施额外的限速措施,将不再允许用户登录与“常用弱密码,”达文波特说。
这表明,除了直接受到这一最近发生的事件的用户,谁使用弱密码的用户也可能会被迫改变他们。
GitHub的注册页面说的密码必须至少为七个字符长,至少有一个小写字母和一个数字。尝试一些弱密码是满足像q1w2e3r4,密码1,并在消息iloveyou2结果说,这些密码标准“通常被黑客猜到了。”
然而,黑名单似乎并不十分广泛,如在技术上薄弱像密码2,1l0v3y0u或p4ssw0rd接受其他的密码。