某黑客团队称破解1100万AshleyMadison网站的密码

一个自称CynoSure Prime的黑客团队声称，在刚刚过去的10天里已经破解了上超过1100万使用Bcrypt算法的散列密码。

成都创新互联公司专注为客户提供全方位的互联网综合服务，包含不限于成都做网站、成都网站建设、和静网络推广、成都小程序开发、和静网络营销、和静企业策划、和静品牌公关、搜索引擎seo、人物专访、企业宣传片、企业代运营等，从售前售中售后，我们都将竭诚为您服务，您的肯定，是我们最大的嘉奖；成都创新互联公司为所有大学生创业者提供和静建站搭建服务，24小时服务热线：18980820575，官方网址：www.cdcxhl.com

上个月黑客攻破了外遇网站Ashley Madison并在网上泄露3700万用户信息，其中包括了3700万的加密密码。

这个散列密码使用的是Bcrypt算法来加密密码，该算法实行“加盐”的哈希密码，以防止被彩虹表破解。现在很多操作系统的密码都是用Bcrypt函数作为默认的散列算法。

维基百科解释说：

“bcrypt是一种自适应的算法：随着时间的推移，迭代次数可以增加，使其速度更慢，所以即使BF算法计算能力不断地提升，它依然能够抵抗暴力搜索攻击，”

团队如何破解散列密码?

攻击本身的想法是暴力破解Ashley Madison帐户的MD5 tokens而不是Bcrypt算法。

这个团队分析了攻击者在网上泄露的数据，发现有个会泄露用户的散列密码、网站和执行电子邮件源代码的漏洞和MD5散列算法的使用有关。

他们审查了代码，发现一组能加快破解哈希密码的函数。

“我们发现了两个有趣的函数，发现我们可以利用这些函数来快速破解bcrypt哈希。”

通过观察两个不同的函数，他们找到了以最大的速度破解bcrypt散列密码的方法。他们采取了个更有效的方法直接攻击MD5(lc($username)."::".lc($pass))并用 MD5(lc($username)."::".lc($pass).":".lc($email).":73@^bhhs&#@&

^@8@*$")tokens来代替。

在函数中的$loginkey变量貌似是用于自动登录，但是他们并没有花太多时间进一步调查。

通过采用这种策略，该黑客团队获得了1120万的密码。不过这个过程目前仅应用于账户的部分。

分享标题：某黑客团队称破解1100万AshleyMadison网站的密码
分享链接：http://www.shufengxianlan.com/qtweb/news48/506548.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联