由于报告全天遍历,大约650万个LinkedIn密码泄露,安全专家一直试图弄清楚发生了什么,以及检查他们自己的密码是否受到损害。
LinkedIn表示它将通过电子邮件受到影响的用户并使受损的密码无效。但是,安全专家表示,如果您的密码在列表中有任何方法可以检查自己。
该过程涉及下载泄露的密码的数据集,将密码转换为显示密码的加密格式,并在数据集中搜索密码。
所有泄露的密码都是散列的,或使用SHA-1加密,该SHA-1将构成密码的字符转换为40个字符的哈希。要查找连接到密码的哈希,还有各种免费的SHA-1转换工具,包括来自网站,如hash.online-convert.com.;sha1hash.com.和这个免费的在线哈希转换器。
然而,有些专家警告使用此类在线转换工具。Dave Pack是Logrhythm的董事,一个日志管理和IT安全公司,他说,一些在线转换网站举行已计算的哈希日志,因此如果您的LinkedIn密码也用作凭据,他会使用此类工具。对于其他网站。
使用转换工具创建哈希和避免避免的另一种方法是使用命令行转录程序自动创建HashTag并直接在DataDump中搜索它。这些命令行转录物特定于各个操作系统。
对于在线转换工具的用户,下一步是下载该组散列密码。可以从各种站点访问数据集。一个继续托管数据集的人在这里Mediafire.。下载文件后,只需在其SHA-1哈希格式中搜索密码的文本文件中。
如果找不到哈希密码,则可以在数据库中以另一种形式列出。黑客似乎已经用五个零替换了一部分散列密码的前五个字符。包相信那些表明已经转换回其本机密码表单的哈希值。要搜索散列密码,请用五个零替换散列密码的前五个字符,然后再次搜索文档。
包也警告说,即使您的密码未显示在列表中,用户仍应假设它们的密码可能会受到损害。他说,黑客只会释放一部分受损数据,以证明他们拥有它。即使它们不出现在数据集中,也意味着其他Linkendin用户的密码也可能会受到损害。
无论您的密码是否在列表中,Pack建议将LinkedIn密码更改为具有数字组合的强密码,以及大写和小写字母。他建议使用在字典中使用的常用词来获取密码。
截至目前,没有证据表明,哈希密码之间存在任何链接以及哪些用户属于哪些用户,但包装也不应该被视为理所当然。释放数据可能有权访问链接到这些密码的用户信息。
StackFrame总裁,佛罗里达州的计算机软件和安全公司总裁Gene McCulley搜索并找到了他在数据库中的独特密码。他很惊讶的是,LinkedIn没有使用称为“salting”的技术来修改密码以进一步保护密码。“如果它被腌制了,那将使它泄漏不太危险,”他说。Salting是将用户特定数据添加到哈希密码的过程,使将哈希转换为实际密码。
“这是整个情况的最令人震惊的事情之一是有密码的密码,”包装说。“它说了很多关于网站的整体安全性。”
如果没有盐密码,黑客可以执行相当简单的SQL注入攻击,它使用Web应用程序在数据库中获得洞察力。在公司的Blogpost周二确认违约,LinkedIn官员表示,他们“刚近最近”为公司的当前密码数据库添加了盐渍和哈希。
有个足球雷竞技app网络世界工作人员作家布兰登巴特勒盖云计算和社会合作。他可以在bbutler@nww.com达到并找到推特在@bbutlernww。