据报道,美国一家科技网站最近邀请3名黑客进行密码破解实验,以检验加密密码的安全性,然而,实验发现,就算外泄的密码不是明码文字,而是以加密的散列码形式呈现,这些黑客仍能在1小时内破解超过1万个密码,其中还包含长达16个字符的复杂密码。
近日,美国一家科技网站从网络上下载了约1.65万组的加密密码,然后邀请密码破解专家杰里米·戈斯尼、延斯·施托伊贝以及绰号为“基数”的黑客破解,以此检验加密密码的安全性。
杰里米·戈斯尼首先上场展示身手,他的成绩是在一开始16分钟内就破解了10233个加密密码,破解率为62%,其中包括长达16个字母和数字组合的复杂密码。戈斯尼使用的主要是字典破解和暴力破解两种方法。大约24小时后,他破解了近90%的密码。
从戈斯尼的破解过程可以发现,越短的密码越容易被破解;其次,单纯使用文字或数字的密码很容易被破解。暴力破解法可以破解所有少于6个字母的密码。戈斯尼的破解工作还离不开另一个得力工具:计算机集群。他透露,由他组建的一个包括25台计算机的集群每秒钟能完成3500亿次密码破解。
延斯·施托伊贝以及绰号为“基数”的黑客使用的破解方法和戈斯尼类似,他们分别在一小时内破解了近80%的加密密码。
除了上述专家外,美国这家科技网站的副主编内特·安德森也加入了这一实验,他在5月的某天早上才学会如何破解密码,但当天就破解了8000组,他说,即使他知道破解密码不难,但没想到竟是如此容易。他只是上网下载了用来破解的密码破解器、找到词典库,然后就成功了。
为了保障用户的安全,有不少网站在服务器端储存的是已加密的散列密码。所谓的散列密码是指当用户在网站输入密码时,网站会将密码字符串转换成某个输出值存入数据库。这一过程是单向的,即使加密后的密码泄露,也无法根据输出值反向推断出明文密码。
例如,实际为arstechnica的密码经过加密后会变成c915e95033e8c69ada58eb784a98b2ed,然后进行储存。使用者在登陆时输入arstechnica,网站首先要将其加密,然后再与服务器端储存的密码进行比对。核对无误后,用户才被允许登录网站账户。
(张运贵 编译)
戈斯尼破解的部分密码:
Apr!l221973
DG091101%
@Yourmom69
i hate hackers
iloveyousomuch
Philippians4:6-7
(原标题:美媒实测:黑客一小时破解上万密码)
