Last.fm 四年前被盗的 4300 万账户密码被公开传播

下一篇文章

Sphero 的 BB-8 玩厌了吗?他们又出了一款控制它的原力手环

你永远不知道下一个被黑的是哪家服务。 数据泄漏信息检索引擎 LeakedSource 今天撰写报告称 ,4 年多以前的 2012 年 3 月,4357 万 999 个 Last.fm 账户连同密码被黑客盗取。今天,这些内容开始在网络里公开传播。

2012 年 6 月,Last.fm 发表了一封声明

鉴于最近的媒体报道和其他网站的遭遇,我们正在调查部分 Last.fm 账户密码泄露情况。在此我们希望所有用户立刻更改自己的密码,以防不备。

在当时被盗的信息并没有立即散播,直到今天。这些密码并未明文保存,也是经过加密的,但是加密的方法有很多种,有些方式会比另外一些方式更安全。

Last.fm 使用了未盐化的 MD5 加密,一种过时的加密手段。说它过时主要是因为它的算法和现在的电脑计算能力相比,已经太过简单,无法防御暴力破解了。再有就是,Last.fm 并未盐化哈希加密密码,这意味着数据库里相同的密码,会拥有相同的哈希值,更容易被破解。盐化就是为哈希密码加入一个随机字符,让相同密码拥有不同的哈希值,这样即使密码被泄漏,暴力破解的难度也是相当大的。很遗憾,Last.fm 当时并没有采取这个措施,LeakedSource 的报告里也提到,一些密码可以轻易被攻破。
这是本周的第二次大规模密码泄漏事件了,我们建议使用 Last.fm 的读者立即更改密码,并使用 Have I Been Pwned 之类的公益服务订阅自己的帐号安全信息。据称里面最常用的密码就是 123456……现在是 2016 年了,我们真诚推荐各位使用 1Password 或者 LastPass 这样的强密码生成管理工具,多一些安心,少一些操心。
blog comments powered by Disqus