楼主: 浮尘

一黑客团队声称破解1100万偷情网站Ashley Madison的散列密码

[复制链接]
  • TA的每日心情

    2024-10-23 14:35
  • 签到天数: 917 天

    [LV.10]以坛为家III

    发表于 2015-9-14 12:27:24 | 显示全部楼层 |阅读模式
    14420665519958.jpg
    一个自称CynoSure Prime的黑客团队声称,在刚刚过去的10天里已经破解了上超过1100万使用Bcrypt算法的散列密码。

    上个月黑客攻破了外遇网站Ashley Madison并在网上泄露37万用户信息,其中包括了37万的加密密码。

    这个散列密码使用的是Bcrypt算法来加密密码,该算法实行“加盐”的哈希密码,以防止被彩虹表破解。现在很多操作系统的密码都是用Bcrypt函数作为默认的散列算法。

    维基百科解释说:

    “bcrypt是一种自适应的算法:随着时间的推移,迭代次数可以增加,使其速度更慢,所以即使BF算法计算能力不断地提升,它依然能够抵抗暴力搜索攻击,”
    团队如何破解散列密码?

    攻击本身的想法是暴力破解Ashley Madison帐户的MD5 tokens而不是Bcrypt算法。

    这个团队分析了攻击者在网上泄露的数据,发现有个会泄露用户的散列密码、网站和执行电子邮件源代码的漏洞和MD5散列算法的使用有关。

    他们审查了代码,发现一组能加快破解哈希密码的函数。

    “我们发现了两个有趣的函数,发现我们可以利用这些函数来快速破解bcrypt哈希。”
    通过观察两个不同的函数,他们找到了以最大的速度破解bcrypt散列密码的方法。他们采取了个更有效的方法直接攻击MD5(lc($username)."::".lc($pass))并用 MD5(lc($username)."::".lc($pass).":".lc($email).":73@^bhhs&#@&

    ^@8@*$")tokens来代替。

    在函数中的$loginkey变量貌似是用于自动登录,但是他们并没有花太多时间进一步调查。

    通过采用这种策略,该黑客团队获得了1120万的密码。不过这个过程目前仅应用于账户的部分。
    回复

    使用道具 举报

    该用户从未签到

    发表于 2015-9-14 13:13:12 | 显示全部楼层
    学习学习技术,加油!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    郁闷
    2016-7-15 11:04
  • 签到天数: 59 天

    [LV.5]常住居民I

    发表于 2015-9-14 23:46:17 | 显示全部楼层
    谢谢分享
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2015-6-21 22:12
  • 签到天数: 1 天

    [LV.1]初来乍到

    发表于 2015-9-15 06:20:48 | 显示全部楼层
    支持,看起来不错呢!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-9-15 10:17:10 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-9-16 13:24:57 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-9-17 04:59:33 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-9-17 18:29:25 | 显示全部楼层
    支持,看起来不错呢!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-9-18 03:05:01 | 显示全部楼层
    学习学习技术,加油!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    郁闷
    2016-4-13 21:38
  • 签到天数: 1 天

    [LV.1]初来乍到

    发表于 2015-9-18 05:31:51 | 显示全部楼层
    支持,看起来不错呢!
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-11-18 11:35 , Processed in 0.025221 second(s), 13 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部