Ashley Madison 事件警示:快别用那些弱智密码了

下一篇文章

中国继续开展对 VPN 服务的打击行动

伪造女性账户婚外情网站 Ashley Madison 最近被黑,导致上百万账户的数据被放到网上,我们可以从中学到的有用一课却也很熟悉的东西是:即使是严格加密的弱智密码仍然很糟糕。

虽然 Ashley Madison 业务和运营的许多方面都让人不快,不过这家公司对其用户的密码倒的确是采用了强有力的加密手段。但如果用户选择了一个弱智的密码,比如 password 或是 1234567,即使有加密工具的加持,也会被破解。

是啊,你大概可以猜到事情会朝什么方向发展了吧……

果不出所料,在对 Ashley Madison 数据库中约 3600 万个加密密码中的前 100 万个密码运行了密码破解工具 hashcat 大约两周后,网络安全公司 Avast 已能够破解 25393 个独特散列——据它说这其中有 1064 个独一无二的密码。

要说清楚的是:这里的独一无二指的是 “与该公司目前破解出来的其他密码不同”,而不是 “真是个让人惊叹的密码!这真是超级复杂,很有可能无法破解!”。

该公司用来进行破解工作的是两个已知的密码列表:有史以来最糟糕的 500 个密码(发表于 2008 年);以及在 2009 年 RockYou 被入侵事件中泄露出来的 1400 万个密码。

该公司表示,在目前被破解的数据中,20 个用的最多的 Ashley Madison 密码如下所示:

 1. 123456
 2. Password(密码)
 3. 12345
 4. 12345678
 5. qwerty(标准键盘)
 6. pussy(小猫)
 7. secret(秘密)
 8. dragon(龙)
 9. welcome(欢迎)
 10. ginger(生姜)
 11. sparky(滑头)
 12. helpme(帮我)
 13. blowjob(口交)
 14. nicole(妮可)
 15. justin(贾斯汀)
 16. camaro(大黄蜂)
 17. johnson(约翰逊)
 18. yamaha(雅马哈)
 19. midnight(午夜)
 20. chris(克里斯)

对此没什么好惊讶的。只是为什么会有那么多妮可?

请记住上面的密码列表只是 Ashley Madison 前 100 万个密码中的一个小部分,很有可能是在网站成立的早些时候所创建的密码——该网站大约在 2001 年成立,所以前 100 万个密码可能反映出一些相当过时的密码设置思维。也可能不是。

将最后 100 万个密码与前 100 万个密码进行比较无疑会是更有趣的数据测试,看看人类在过去的 15 年间是否在创建密码上有所提升。不过 Avast 强调它是假设密码数据库是按照时间顺序排列的,所以也 “不能 100% 确定” 就是这样。

不过有一件事一直十分清楚:人们的首个冲动在于创建的密码要确保他们会记得,因此弱智的密码基本上是在说人类大脑的存储有限。解决这个问题需要 1) 其他的技术和 2) 无论如何必须以这样一种方式实现,也就是使用这个密码要比回想和打出 123456 更容易。

翻译:曹木

Ashley Madison Hack Latest Reminder Stupid Passwords Are Stupid