揭秘网站密码保护黑客1秒测试百万条密码

A5交易A5任务 SEO诊断淘宝客 站长团购

北京时间6月11日消息，据《纽约时报》报导，LinkedIn是一家数据公司，但它没有保护好自己的数据。

上周，黑客攻破网站，盗取600万用户密码，这些密码保护不周。密码被公布在俄罗斯黑客论坛上，人人可以看见。LinkedIn被攻击并不是所有人都吃了1惊。每天，企业电脑系统都要遭到攻击。实际上，CBS音乐网 和约会网站eHarmony上周也遭到攻击，数百万密码被偷。

LinkedIn漫不经心

让客户和安全专家吃惊的是，以搜集大量数据并靠它盈利的企业，数据保护方式如何之简单。泄漏事件使得人们开始怀疑LinkedIn的电脑安全。虽然入侵不断增加，但一些具有客户数据的企业依然继续在自有电脑安全上下赌注。

旧金山电脑安全公司 Cryptography Research克歇尔(Paul Kocher)说：如果它们请教那些知道密码安全一切详情的人，这事就不会产生。

之所以造成这样的问题，部份缘由在于漫不经心的数据保护态度，由于造成严重后果十分罕见。没有法律上的罚款。客户很少流失。以LinkedIn为例，在泄漏以后它的股价实际上上涨了。

真正让大家担心的问题在于LinkedIn不是一家创业公司，也不是一家对数据不熟悉的企业。去年5月，它成功IPO，它具有大量现金，它招聘高级人才，而且盈利。它有1.6亿会员，这些人分享自己的企业关系，希望建立一个更宽阔更有效的网络。他们希望自己的网络遭到保护。

Buzzmedia专业音乐家、产品经理史密斯(Craig Robert Smith)说：我希望LinkedIn做得更好些。但我没有删除帐号，由于它是一个与被招募、网络有关的网站。目前尚不清楚黑客如何攻入系统的，也不知道它们在系统中呆了多长时间。LinkedIn没有设置首席安全官，让他监督泄漏事件。公司的运营资深副总裁大卫亨特(David Henke)兼管安全问题，还有其它职责。

黑客1秒测试一百万密码

如果按A级至F级来评价，最高级为A级，专家说LinkedIn、eHarmony和最多可以拿D级。对待用户密码，公司最大意的地方在于将它以纯文本情势存储。RockYou在2009年时被盗取300万用户密码，就是属于这类失误。为了保护密码，最基本的一部保护措施就是进行基本加密，也就是所谓的散列法，用一种数学算法对密码进行掩盖，然后用编码进行存储。

不过，黑客通过自动工具，能在1秒测试一百万密码。它们可以破解散列密码，一般是利用所谓的字典、敏感在线通用密码数据库破解。一些网站包涵外文子表，乃至是宗教式的密码(比如天使angel，神God，这些在破解的LinkedIn密码中排在前15位)。还有一些黑客使用彩虹表(rainbow tables)来破解，上面例有几近所有数字字母字符组合哈希值表。一些网站会公布500亿哈希值。

为了避免黑客破解，一些公司会采取一系列的随机数，将它们添加在每一个哈希值后，也就是所谓的salting，这类技术可以随机颠倒私有密钥的数字，它只需要几行代码，几乎没有任何本钱。

安全专家称，对密码进行salting是安全手册第一条，但LinkedIn、eHarmony和都没有这样做。在A+级安全级别中，会设置散列密码、具有复杂的暗号功能，进行salting，再将结果转成散列密码，将授权证书另外寄存，确保服务器不能被黑客攻入。

克歇尔说：这不是什么复杂的事。

后果

在泄漏以后，Linked一名高管维森特圣卡塔林纳(Vicente Silveira)在博客中说，公司已将一般性密码无效化，并说会员会受益于增强的安全措施，这些措施包括将密码散列化，并对目前的密码数据库进行salting。LinkedIn新闻发言人没有泄漏什么时候对密码进行散列化、salting化，也没有解释为什么不在一开始就使用。

表面来看，安全性一般的LinkedIn帐号泄漏不会有会大的恶果。但是黑客深知用户的心态，他们会在许多网站用相同的密码，他们会在邮箱、银行、企业、佣金帐户上使用同一密码，这样一来，黑客可以盗取个人和金融数据。

以LinkedIn为例，黑客贴出640万散列密码，让其它人协助破解。到周四，大约60%的密码已被破解。克歇尔估计终究95%会破解。

在博文中，LinkedIn指出与密码相干的用户名没有被展现出来，但安全专家称，这可能只是由于发布的网站将用户名自己留下来。

格罗斯曼(Jeremiah Grossman)说：你没有将王冠上的珍珠给他人，是为了让他人争取。

升级安全 一次性本钱几百万美元

黑客的动机十分明显。但让安全专家真正感觉神秘的是为何泄漏会不断产生。格罗斯曼估计，对像LinkedIn这样的公司来讲，设立适合的密码、网络服务器、运用安全，一次性本钱大约几百万美元。而据赛门铁克的研究指出，一宗泄漏平均本钱550万美元，也就是第条记录泄漏本钱194美元。

格罗斯曼展现了两张表。一张是飞机每英里失事机率，现在已掉到只有1945年时的千分之一，主要得益于1958年美国联邦航空管理局(Federal Aviation Administration)建立、并制定了更安全更严格的安全协议。还有一张表是电脑新安全威逼表，它的结果完全相反。自从2002年以来，新威逼增长了1万倍。

克歇克及其它安全专家认为，问题在于缺少责任。电脑安全是不规则的，敏感的个人、企业、财务信息每天不断上传，企业不断跳过基本保护。如果美国明天有5%的飞机要失事，就会有调查、有诉讼、会削减航线、航空股也会重挫。但在社交网络，克歇尔说：人们的投票没有跟上脚步。

自从周三泄漏被公布以来，LinkedIn没有泄漏有多少用户退出服务，虽然黑客不断在努力破解密码，公司的股价到周末时仍上涨了4%。

格罗斯曼说：每次坠机FAA就会调查，数据也会不断表露。至于泄漏就没有这回事。没有政府机构管。我们不知道哪里起火了，也不知道火是怎样来的。(水声)

八成网站登录口令裸身待缚 电商类全军覆没

成都到绥化货运公司

成都到江苏物流

成都到杭州货运公司