eHarmony證實(shí)有150萬(wàn)密碼被盜

eHarmony證實(shí)，其近150萬(wàn)用戶的密碼被黑客竊取，更具體地說(shuō)，是散列密碼。這個(gè)廣受歡迎的相親網(wǎng)站可能成為同樣的黑客的受害者，這些黑客周三破壞了Linked In的密碼數(shù)據(jù)庫(kù)。

建議eHarmony或Linked In的任何用戶，無(wú)論其帳戶是否有針對(duì)性，都應(yīng)立即更改密碼。

雖然eHarmony有很好的意義，可以用160位SHA-1加密他們的用戶憑據(jù)，但他們沒(méi)有淡化這些密碼哈希值。雖然160位加密在理論上是黑客難以對(duì)付的障礙，但如果沒(méi)有鹽或AC提供的額外的混淆層，SHA-1密碼就會(huì)變得非常容易受到即使是最簡(jiǎn)單的基于字典的攻擊。這一事實(shí)是正確的，無(wú)論密碼強(qiáng)度的某些類型的加密標(biāo)準(zhǔn)，如SHA-1和MD5。

通過(guò)簡(jiǎn)單地使用Google來(lái)破解常見(jiàn)的MD5密碼哈希，就可以清楚地看出密碼哈希的潛在危險(xiǎn)。不幸的是，這種簡(jiǎn)單的方法也適用于SHA-1。

昨天，在黑客上傳的一個(gè)265MB密碼哈希轉(zhuǎn)儲(chǔ)中發(fā)現(xiàn)了SHA-1的密碼值，如“l(fā)inked in”、“l(fā)1nked in”、“l(fā)inkedout”和“招聘人員”。這一發(fā)現(xiàn)，雖然不是確定的，但作為部分確認(rèn)，近650萬(wàn)密碼哈希的名單屬于Linked In。Linked In后來(lái)證實(shí)，一些用戶的憑證確實(shí)被盜，并重置了這些賬戶的密碼。

考慮到這一點(diǎn)，類似“eharmony”這樣的暗示性密碼也可以在同一個(gè)文件中找到。投機(jī)者現(xiàn)在推斷，同樣巨大的文本文件也可能包含eHarmony甚至其他網(wǎng)站的密碼。