- PVSM.RU - https://www.pvsm.ru -
Как известно, больше месяц назад компания Adobe сообщила [1] о хакерской атаке на свои сервера, в результате которой была украдена база данных пользователей, включающая ФИО, хэшированные пароли и номера банковских карт, а также исходники её главных продуктов. Изначально говорилось о 2.9 миллионах скомпрометированных учетных записей, но реальность оказалась намного страшнее.
Вскоре файл с 130 324 429 уникальными записями был выложен в открытый доступ и любой желающий смог скачать и покопаться в нем.
Каждый зашифрованный пароль в дампе базы имеет длину 8, 16, 24, 32, 40 или 48 символов в шестнадцатеричной системе. Хотя Adobe заверяла, что данные надежно зашифрованы, при внимательном изучении базы паролей, оказалось, что использовался симметричный блочный шифр 3DES в режиме Electronic Code Book (ECB), при этом перед шифрованием к каждому паролю добавлялся ноль в конце (ASCII NUL).
Быстро был составлен Топ 100 [2] самых популярных паролей в базе:
Отсутствие соли [3] позволило очень быстро расшифровать большинство хэшей. Данный эпикфейл Adobe уже породил несметное количество грустных шуток среди безопасников:
Вдохновившись комиксом xkcd [4], ребята сделали на основе 1000 наиболее популярных пользовательских паролей целый кроссворд [5] :)
Автор: Akr0n
Источник [6]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/48505
Ссылки в тексте:
[1] сообщила: http://blogs.adobe.com/conversations/2013/10/important-customer-security-announcement.html
[2] Топ 100: http://stricture-group.com/files/adobe-top100.txt
[3] соли: http://ru.wikipedia.org/wiki/Соль_(криптография)
[4] xkcd: http://www.xkcd.com/1286/
[5] кроссворд: http://zed0.co.uk/crossword/
[6] Источник: http://habrahabr.ru/post/200272/
Нажмите здесь для печати.