eHarmony证实,其近150万用户的密码被黑客窃取,更具体地说,是散列密码。这个广受欢迎的相亲网站可能成为同样的黑客的受害者,这些黑客周三破坏了Linked In的密码数据库。
建议eHarmony或Linked In的任何用户,无论其帐户是否有针对性,都应立即更改密码。
虽然eHarmony有很好的意义,可以用160位SHA-1加密他们的用户凭据,但他们没有淡化这些密码哈希值。虽然160位加密在理论上是黑客难以对付的障碍,但如果没有盐或AC提供的额外的混淆层,SHA-1密码就会变得非常容易受到即使是最简单的基于字典的攻击。这一事实是正确的,无论密码强度的某些类型的加密标准,如SHA-1和MD5。
通过简单地使用Google来破解常见的MD5密码哈希,就可以清楚地看出密码哈希的潜在危险。不幸的是,这种简单的方法也适用于SHA-1。
昨天,在黑客上传的一个265MB密码哈希转储中发现了SHA-1的密码值,如“linked in”、“l1nked in”、“linkedout”和“招聘人员”。这一发现,虽然不是确定的,但作为部分确认,近650万密码哈希的名单属于Linked In。Linked In后来证实,一些用户的凭证确实被盗,并重置了这些账户的密码。
考虑到这一点,类似“eharmony”这样的暗示性密码也可以在同一个文件中找到。投机者现在推断,同样巨大的文本文件也可能包含eHarmony甚至其他网站的密码。