LinkedIn密碼流出事件
上次才說為了密碼安全開始用Keepass2,今天網路上就爆發出LinkedIn密碼流出事件。
這次事件發生後,我才發現前一篇文章我對資安的了解完全還停在上一個世紀的水準,以為夠長夠亂的密碼就可以提高破解的困難度。
但是從流出的部份sha-1 hash和破解資訊可以看出,長達15字的密碼"thisisnotsecure"也被破了,當然因為linkedin的資料庫沒有salt的關係,所以不排除是rainbow table。而且也有可能是用dictionary attack增加破解的速度。
但是在和朋友的討論中,有一個例子是網路上有一個人用EC2的GPU cluster來破解密碼。
引述朋友的摘要:「他假設密碼字元是以所有鍵盤能打出的字符為限,6 字以內的密碼可以在 47 秒內算出來,7 字要一小時多,8 字要一年半左右;但如果只要考慮大小寫加數字的組合的話,9 字只需要十天,10 字都花不到兩年;而如果你只用小寫字母的話,12 字以內的密碼都可以在兩個半月內算出來。」
自此你可以發現傳統的密碼系統已經接近快要崩盤的程度。注意像salt之類的方法只能阻擋像rainbow table這類的攻擊,若他知道你的salt公式,對brute force來說幾乎是完全沒有差別的。
所以再提一次,你還在用通用密碼嗎?趕快換掉吧,雞蛋不要放在同一個籃子裡是永遠的真理。
這次事件發生後,我才發現前一篇文章我對資安的了解完全還停在上一個世紀的水準,以為夠長夠亂的密碼就可以提高破解的困難度。
但是從流出的部份sha-1 hash和破解資訊可以看出,長達15字的密碼"thisisnotsecure"也被破了,當然因為linkedin的資料庫沒有salt的關係,所以不排除是rainbow table。而且也有可能是用dictionary attack增加破解的速度。
但是在和朋友的討論中,有一個例子是網路上有一個人用EC2的GPU cluster來破解密碼。
引述朋友的摘要:「他假設密碼字元是以所有鍵盤能打出的字符為限,6 字以內的密碼可以在 47 秒內算出來,7 字要一小時多,8 字要一年半左右;但如果只要考慮大小寫加數字的組合的話,9 字只需要十天,10 字都花不到兩年;而如果你只用小寫字母的話,12 字以內的密碼都可以在兩個半月內算出來。」
自此你可以發現傳統的密碼系統已經接近快要崩盤的程度。注意像salt之類的方法只能阻擋像rainbow table這類的攻擊,若他知道你的salt公式,對brute force來說幾乎是完全沒有差別的。
所以再提一次,你還在用通用密碼嗎?趕快換掉吧,雞蛋不要放在同一個籃子裡是永遠的真理。
打從二十多年前,我使用BBS與internet的第一天,就加入特殊符號在密碼裡,而Keepass 我也用好幾年了 (high five!),老婆老爹老娘的電腦都歸我管,沒有 Keepass 還真會死無葬身之地。
回覆刪除這麼多年來,問題似乎依舊在於,系統管理者根本對使用者密碼強度漫不經心,千囍年都過了十多載,到現在還是會碰到註冊時,系統不接受特殊符號,或不准密碼超過某個長度。
讓我火腦的是,有網站會設計密碼輸入時,無法使用剪貼功能,或許這有特別考量、會有爭議,但,這樣就不能用 Keepass 產生太過複雜的密碼了.....