閱讀: 1290|回覆: 0

媒實測:駭客在1小時內可破解上萬組密碼 [複製連結]

Rank: 9Rank: 9Rank: 9

發表
3191
註冊時間
2008-1-30

管理員

發表於 2013-5-29 18:55:26 |顯示全部樓層
媒實測:駭客在1小時內可破解上萬組密碼
文/陳曉莉 (編譯) 2013-05-29

美國科技網站Ars Technica最近邀請3名駭客進行密碼破解的實驗,以了解已加密密碼的安全性,然而,實驗發現,就算外洩的密碼不是明碼文字,而是以加密的雜湊(hash)碼形式呈現,這些駭客仍能在1小時內破解逾1萬筆密碼,其中還包含長達16字元、夾雜英文與數字的密碼。

Ars Technica是從網路上下載約1.65萬組的加密密碼,並邀請來自Stricture Consulting Group的密碼專家Jeremi Gosney、來自oclHashcat-plus的開發人員Jens Steube,以及代號為radix的駭客進行破解密碼的實驗。

為了保障使用者的安全,有不少網站於伺服器端儲存的是已加密的雜湊密碼,例如實際為arstechnica的密碼會變成c915e95033e8c69ada58eb784a98b2ed,當使用者在登入時輸入的仍是arstechnica,但網站會將其加密並與伺服器端儲存的密碼進行比對。

不過,Ars Technica實驗發現,Steube與radix在一小時內分別破解了82%與62%的密碼組,Gosney則花了20個小時破解了9成的密碼,在一小時內就被破解的密碼中,還包含像是qeadzcwrsfxv1331等長度多達16字元的密碼。

這些駭客利用字典及蠻力破解法(brute-force crack),從破解順序可發現,愈短的密碼愈容易破解、單純使用文字或數字的密碼也愈容易破解、只使用字典中的詞彙也很容易破解。

除了上述專家外,沒有技術背景的Ars Technica副主編Nate Anderson也加入了這項實驗,他在5月的某天早上才學會如何破解密碼,但當天就破解了8000組,他說,即使他知道破解密碼不難,但沒想到竟是如此容易。他只是上網下載了用來破解的加密密碼,下載了密碼破解器、找到生字資料庫,然後就成功了。

從Ars Technica的實驗看來,不論網站儲存使用者密碼時是採用清楚的文字或是加密的雜湊碼,一旦外洩,便很難保障使用者的帳戶安全,不過,近來業者已開始推動以生物辨識取代密碼輸入,Google亦正在研究如何以實體裝置來取代密碼。(編譯/陳曉莉)

http://www.ithome.com.tw/itadm/article.php?c=80636
← 按讚加入粉絲團!
您需要登入後才可以回覆 登入 | 立即註冊 |

bottom

聯繫我們|手機版|就是酷資訊網 |

GMT+8, 2016-12-9 13:44 , Processed in 0.042508 second(s), 10 queries , Gzip On.

Powered by Discuz!
© 2008-2013 JustCool Inc.

回頂部