一名基于纽约的Web开发人员和他的同事已经为人们建立了基于Web的应用程序,以了解他们的LinkedIn密码哈希在俄罗斯黑客论坛上发布的650万之间。
由于LinkedIn存储的详细个人数据以及黑客矛盾的矛盾高级高级管理人员或传播恶意链接,因此密码泄露是显着的。
LinkedIn正在询问一些用户重置他们的密码,但有另一种方法可以查看他们的帐户是否受到损害。
泄漏使用LinkedIn存储的SHA-1算法将一个人的清晰文本密码转换为相应的加密表示。它确实在浏览器中使用JavaScript转换并没有在其他地方传输密码,写了一个LeakedIn的开发人员,克里斯Shiflett,在他的博客。
然后泄露in of检查哈希是否在违规密码列表中。并非所有列表中的所有哈希都已转换为原始密码,但很可能是黑客正在处理它。Shiflett写道,“我发现我的密码不仅是650万被泄露的密码,而且也是那些被破解的人。我是受害者。”
密码哈希可以通过使用功能强大的图形处理器和免费的密码开裂工具(如“John The Ripper”)转换为普通文本,这些工具可以与常规PC一起使用,“Oclhashcat”。处理需要多长时间取决于密码的复杂性。
那些开裂应用程序使用从所谓的字典攻击中的其他密码漏洞编译的单词列表,该攻击将寻求将已与新列表中的数据匹配的哈希。另一种方法是蛮力攻击,其中程序在寻找匹配哈希的希望中快速尝试不同的密码组合。对于包含大写字母和符号的混合的更长密码,蛮力攻击更耗时。
Robert David Graham,安全咨询勘犯安全的首席执行官,写道密码的每个字母有100种可能的组合,由大写或小写,数字或符号组成。五个字母的密码将有100亿个可能的组合,并且可以使用直行的Radeon HD 7970图形处理器在五秒钟内裂开。
格雷厄姆写道,六个字母的密码需要七秒钟超过七秒钟,但七个字母的密码需要13个小时。八个字符推动最多57天的时间,九个字符密码长达15年。
“换句话说,如果你的密码是七个字母,黑客已经破解了它,但如果它是九个字母,那么用蛮力破解太难,”格雷厄姆写道。
转储中的许多哈希有五个零作为哈希的前五个字符。格雷厄姆写道,有些人“认为这意味着黑客已经破解了这种密码,这些密码已经归化出来。”
LinkedIn没有“盐”它的哈希,这涉及将随机性格插入到散列中,使得尝试蛮力攻击的人们更加困难。该公司表示现在腌散列。
安全供应商Sophos表示,在淘汰重复后,已确定已有580万独特的哈希释放出来的650万。其中580万,大约350万哈希或约60%已成功爆炸,写道Chester Wisniewski,高级安全顾问。
Sophos比较了LinkedIn的密码与Conficker Worm使用的那些通过网络驱动器传播。Wisniewski的LinkedIn Users撰写了Conticker使用的两个简单密码,除了Conticker也使用了两种简单的密码。
LinkedIn使用一个人的电子邮件地址作为其登录过程的一部分,并且如果黑客也有那些地址,这将使这将使漏洞更加严重,因为它将允许他们直接访问一个人的帐户。LinkedIn将不得不发布更多信息,以恢复San Diego安全公司安全公司的安全研究员Cameron Camp表示其用户的信心。
“在接下来的两到三天内看到有趣的是,看看Linkedin所说的是非常有趣的,”营地说。
向Jeremy_kirk@idg.com发送新闻提示和评论