近日,數(shù)據(jù)泄露索引服務(wù)公司LeakedSource再次爆料:在2012年3月份,他們曾發(fā)現(xiàn)了一起網(wǎng)站數(shù)據(jù)泄漏事故,即:Last.fm網(wǎng)站(國外一個以音樂交流為主的社交平臺網(wǎng)站,類似于我國的豆瓣網(wǎng))遭到黑客攻擊,其中43570999名用戶的密碼遭到泄漏。LeakedSource公司在最近提交的一份報告中,詳細(xì)地介紹了此次事故的情況。
在數(shù)據(jù)泄漏發(fā)生3個月之后,2012年6月,Last.fm公司首次對此次事故給出了聲明:
“現(xiàn)在,我們已經(jīng)開始著手調(diào)查此次數(shù)據(jù)泄露事故了。調(diào)查的切入點便是遭到黑客泄漏的用戶密碼,以及之前發(fā)布在Last.fm上的一些相關(guān)信息。為了防止更多用戶的信息遭到泄漏,我們要求公司的所有用戶應(yīng)立即修改自己的登錄密碼。”
直到現(xiàn)在,Last.fm公司仍未披露泄漏數(shù)據(jù)的總量以及事故的嚴(yán)重程度等重要信息。LeakedSource公司表示,Last.fm公司采用的密碼加密方式是MD5不加鹽處理。這種密碼保存方式無異于直接以明文形式保存,安全性極低。幾乎Last.fm公司旗下的每一個網(wǎng)站在保存用戶的密碼時,都采用了某種類似的Hash散列加密方式。不錯,Hash散列確實是一種數(shù)據(jù)加密方式,但在現(xiàn)在看來,由于缺乏足夠的安全性,它已經(jīng)落伍了。
MD5之所以會落伍,一個很重要的原因便是:在該算法背后,沒有強大的數(shù)學(xué)以及密碼學(xué)等理論作為技術(shù)支撐,來提高其安全性,以致于這種加密算法在面對現(xiàn)代的暴力破解方法時,顯得毫無招架之力。黑客很輕松地就能破解用類似方法加密的密碼。同時,Last.fm公司在使用MD5算法加密過程中,并沒有進(jìn)行加鹽處理,這也是導(dǎo)致數(shù)據(jù)發(fā)生泄漏的一個重要原因。加鹽加密(Salting)是在對密碼進(jìn)行Hash處理的過程中,向每一個密碼序列中,添加一個作為偽碼的n位隨機(jī)數(shù)字字符串(具體長度視密碼長度而定),以加大破解難度,從而提高密碼的安全性。而不幸的是,Last.fm并沒有采取這一加密步驟。LeakedSource公司指出,其中的很多密碼極易遭到黑客的暴力破解。
本周,LeakedSource公司再次向廣大網(wǎng)民發(fā)出了警告,根據(jù)LeakedSourc“如果你是Last.fm網(wǎng)站用戶,那么我們要求你應(yīng)立即修改自己的登錄密碼,不要抱有任何的僥幸心理,因為下一個受害者很可能就是你!”e公司提供的數(shù)據(jù)顯示,大量Last.fm網(wǎng)站用戶最喜歡使用的密碼居然是123456。對此,LeakedSource公司安全研究人員表示,“我們實在無法理解這一現(xiàn)象。我想,即使是一名菜鳥級的黑客,想要破解這類密碼,也應(yīng)該是易如反掌吧;況且,在當(dāng)今這樣一個全民重視信息安全的時代,使用如此簡單的密碼,也是對個人信息安全不負(fù)責(zé)任的表現(xiàn)。在提交注冊密碼之前,我們要求用戶至少也要使用像類似于LastPass(一個優(yōu)秀的在線密碼管理器)的工具,來生成自己的密碼。這樣做的目的是,至少能在一定程度上維護(hù)數(shù)據(jù)的安全性,而不是使用自己隨意編造的所謂的“密碼”。”