1.5亿Adobe用户密码遭泄露
本帖最后由 zpvip 于 2013-11-22 10:21 编辑http://netsecurity.51cto.com/art/201311/416158.htm
http://www.reuters.com/article/2013/11/07/us-adobe-cyberattack-idUSBRE9A61D220131107
http://www.ithome.com/html/it/60513.htm
http://sec.chinabyte.com/165/12777165.shtml
Adobe 被爆了,152 million 个密码泄漏,如果你在上面注册过,这个密码又在别的地方使用过,请改密码~
Adobe 密码加密不加盐,很容易被暴力破解
Jeremi Gosney下載在網路上曝光的Adobe用戶檔案,並破解其中600萬筆密碼,列出最常被使用的前100組密碼,Adobe用戶最常使用的密碼是123456,總計有190萬名。 超过44万名用户选择用“123456789”做密码。然后就是“password”,“adobe123”和“12345678”。这五个密码是最常用的,一般来说这种密码泄露了也没关系,但大量用户使用相同的密码登录 facebook 和 evernote,相关网站都提示用户修改密码。
可以在这时查看你的email是不是在其中,我是中了,还好密码是自动生成的
http://adobe.cynic.al/
这时候,每个网站一个密码的优势就出来了,来看广告:
http://dolc.de/forum.php?mod=viewthread&tid=1684142
用adobe什么需要密码?
还好都是破解版的。。 他们的业务很多啊,
有人会用他们的相片存储服务,很专业的 zpvip 发表于 2013-11-22 11:02
他们的业务很多啊,
有人会用他们的相片存储服务,很专业的
哦
PS啊
本帖最后由 shrek_munich 于 2013-11-22 10:29 编辑
123456正是说明用户随手写的,真正隐私账户才不会用这个密码
ps 这回怎么不说人家adobe不懂it了? 查了一下,我的也被盗了{:5_391:}。。。。 shrek_munich 发表于 2013-11-22 10:14
123456正是说明用户随手写的,真正隐私账户才不会用这个密码
ps 这回怎么不说人家adobe不懂it了?
adobe不懂it还用说么?呵呵 moudy 发表于 2013-11-22 10:41
adobe不懂it还用说么?呵呵
+1 同呵呵 以前用学生账户注册下载过cs4 abobe好像有过帐户,100年没用了 我又要来给楼主普及一点密码学基础了:
加盐的作用主要不是为了防范暴力破解,加盐还是不加盐主要意义不是针对暴力破解。
加盐的最最最主要的作用是:防止通过彩虹表获得密码,彩虹表类似暴力破解,但并不是暴力破解。
最简单的场景,作为网站的管理员,你可以查阅所有的数据库,如果数据库只保存密码的MD5值但不加盐,那么如果你知道自己的密码是123456,那么你可以根据数据库存储的记录,搜索出同样使用123456作为密码的用户。
当然,盐当然对于防范暴力破解也有意义,比如可以这样:为了用户良好的体验,只要求6-10位密码,然后混入10位以上的盐,这样一来,如果黑客拿到数据库但是拿不到程序,不知道盐的混入方式,那么他面对的是20位以上的密码需要暴力破解。
当然,如果程序和数据库全拿下,那么又回到6位的密码需要暴力破解了,MD5和盐在这里也就仅仅是起到验证结果的作用了。 真要搞密码的或者攻击的,脑子里面都有一个简单的彩虹表的,所以一看到比如:
E10A....49BA..883E
就会开始猜密码是不是123456,是不是没加盐
诸如其他的,也都需要培养一种“语感”,就是一看到一段密文,大概就知道是用什么方式加密的,参数范围等等。 mymy365 发表于 2013-11-22 12:56
我又要来给楼主普及一点密码学基础了:
加盐的作用主要不是为了防范暴力破解,加盐还是不加盐主要意义不是 ...
彩虹表基本就是暴力破解的代名词啦。加盐至少能避免彩虹表对吧。 moudy 发表于 2013-11-22 13:06
彩虹表基本就是暴力破解的代名词啦。加盐至少能避免彩虹表对吧。
不不不,虽然彩虹表也是字典,但这个字典不是暴力破解方法里面的字典,暴力破解里面的不过是词语大集合,而彩虹表是个英汉互译字典。
粗暴的过程是彩虹表的生成,但是热心人好多的,比如现在10位以下的MD5彩虹表已经很容易可以下载到了。
破解的过程一点也不暴力,很轻松,就跟查字典一样,所以如果dol论坛现在用的是3位salt,你用个7位的密码,其实来福只需要几秒钟就能知道你的密码到底是什么啦~~~
所以现在都是 加盐,再MD5,再加盐,再MD5,32位的彩虹表现在可没人有那个本事,不过按照发展规律,也就是十几年甚至几年的时间了 moudy 发表于 2013-11-22 13:06
彩虹表基本就是暴力破解的代名词啦。加盐至少能避免彩虹表对吧。
彩虹表个人理解是一个剪枝以后的暴力破解
加盐只是人为的增加了复杂度,导致目标彩虹表的复杂度上升到一个不可解决空间/时间复杂度上 mymy365 发表于 2013-11-22 13:20
不不不,虽然彩虹表也是字典,但这个字典不是暴力破解方法里面的字典,暴力破解里面的不过是词语大集合, ...
谢谢你的回复。如果你觉得彩虹表只是个英汉互译字典那你就错了。
http://en.wikipedia.org/wiki/Rainbow_table zpvip 发表于 2013-11-22 23:38
谢谢你的回复。如果你觉得彩虹表只是个英汉互译字典那你就错了。
http://en.wikipedia.org/wiki/Rainbow ...
如果你无法参透我说的彩虹表只是个英汉互译表,那么你还需要再看看。
PS1:礼尚往来,你给我一个链接,我也给你推荐一个:http://www.德国亚马逊.de/dp/B006QOGTIQ/
PS2:Wiki链接下次就不用贴给我了,这玩意写Paper都不能做参考。。。
PS3:我再重复一遍:彩虹表就是个英汉字典~~~
PS4:呃,相比之下,我更喜欢XBOX ONE。。。。好吧,好冷的梗 mymy365 发表于 2013-11-23 00:58
如果你无法参透我说的彩虹表只是个英汉互译表,那么你还需要再看看。
PS1:礼尚往来,你给我一个链接, ...
昨天本来打了半版字,后来删除了,因为你从一开始就觉得我不知道为什么加盐,我没必要写一堆告诉你我知道。
再到后来你觉得只有穷举才是"暴力破解",我觉得彩虹表也很暴力。
你的“英汉字典”的比喻真的不恰当,你真的觉得给你一段 hash(英文单词),你就能通过彩虹表找到“原密码”(单词解释),这种情况存在,但彩虹表不只是这样。你觉得wiki不专业,但人家总比你的“英汉字典”说得详细,你去编辑一下,说 just like a dictionary,看人家接不接受你的解释? zpvip 发表于 2013-11-23 10:46
昨天本来打了半版字,后来删除了,因为你从一开始就觉得我不知道为什么加盐,我没必要写一堆告诉你我知道 ...
打了这么多字,都是你觉得你觉得~~~
你的“英汉字典”的比喻真的不恰当,你真的觉得给你一段 hash(英文单词),你就能通过彩虹表找到“原密码”(单词解释)
你能说出这些,恰恰说明了我说的似乎没错:你还没有参透。不但没参透,连Hash的基本属性的理解都有缺失。
我只再多说两句:我说的英汉字典是针对暴力字典的字典说的,如果你理解不了这两种的区别,我无话可说,如果你不知道你的英汉字典还有同义词反义词,还有时态变化,还有成语词典,还有例句,还有各种功能,那恰恰反映了你的眼界,你把我说的英汉字典狭义的理解为一对一,说明了就算有一本牛津词典放在你手上,你也玩不出一朵花来。同样的,就算你下载一个彩虹表,你也只会按照别人指示的方法去使用这本词典。工具是死的,要把手上的工具活学活用,这才是人要做的。
多说无益,你的楼里面是我先回帖的,是我的错,我道个歉。以后你喜欢怎么卖萌,继续,我不进来就是了。不过,下次说类似:
Adobe 被爆了,152 million 个密码泄漏,如果你在上面注册过,这个密码又在别的地方使用过,请改密码~
Adobe 密码加密不加盐,很容易被暴力破解
这样的话前,先斟酌斟酌。
不是通过几个专业词语,就能让自己显得高端大气上档次了。有的时候,你只要一开口,就知道你有没有。
即使我不回帖,一样也会有别人在其他地方偷着笑的。
不用再回我贴。哦,不对,不能强迫别人做事情。你爱回就回吧。最好不要引用回复,这样我就不会收到消息提醒被打扰了。谢谢了。祝周末愉快~~~
页:
[1]