[1286] Encryptic

Title Text:It was bound to happen eventually. This data theft will enable almost limitless [xkcd.com/792]-style password reuse attacks in the coming weeks. There’s only one group that comes out of this looking smart: Everyone who pirated Photoshop.<

Origin:https://xkcd.com/1286/

https://www.explainxkcd.com/wiki/index.php/1286:_Encryptic

通过密码对用户进行身份验证的网站和其他计算机需要能够知道用户是否输入了正确的密码。但是,自从密码安全:1978年的案例历史出版以来,将密码本身存储在计算机上就已经存在不必要的风险。在那篇论文中,Robert Morris和Ken Thompson展示了使用缓慢,加密安全的做法的做法 – 方式哈希函数,这样即使密码文件被盗,也很难弄清楚密码是什么,只要密码本身适当复杂。他们还率先使用“salt”,即使两个用户使用相同的密码,也会使每个密码哈希完全不同。有关盐的背景和适当的慢哈希函数,请参阅密码问题和答案。

然而,Adobe忽略了这些众所周知的原则,而是以可逆加密的方式存储了超过一亿个密码,使用了一种可怕的加密方法选择,这些加密方法暴露了大量关于密码的信息,并且不涉及盐。该密码数据库最近由某人获得并在因特网上发布。

特别是,Adobe使用Triple DES,这是一种较旧的加密算法,在正确使用时仍然可以相对安全,但他们使用不当。它适用于64位(8个字符)块。假设密码以纯ASCII格式存储,这意味着密码中的8个字符的序列始终加密到相同的结果,该字符位置是8的倍数。因此,以“12345678”开头的两个密码将在加密后以相同的块开始。此外,这意味着你实际上可以很好地了解密码的长度,因为只有一个块的任何东西都是长度在1到8个字符之间的密码,而有两个块意味着它有9到16个字符,等等。

Adobe还存储了用户为其密码创建的提示。这意味着攻击者不仅知道相同的8个字符是否用于多个密码,而且还有一些猜测它们的提示。这意味着常见的密码部分应该易于恢复,并且任何用户可能会被其他人使用相同密码的一部分“妥协”并提供良好的提示。例如,一个有三个提示“Big Apple”,“Twin Towers”和“如果你可以在那里做”的密码可能是“纽约”或者是一个简单的变体。这里的缺点是没有解密,因此不会发生硬破解,你只需要通过加密块对密码进行分组,并尝试像填字游戏一样解决它们。这些弱点已被用于推测爱德华·斯诺登使用的密码,正如高效黑客的7个习惯所讨论的那样:有人可以使用Adobe漏洞进行攻击吗?

这些示例不是从实际泄露的文件中获取的,因为它使用了不同的格式,并且示例显然巧妙地制作了一个漂亮的填字游戏,可以解决,如下面的密码部分所示。

如http://filosottile.github.io/analyzing-the-adobe-leaked-passwords/所述,漫画中的数据并不真实,并包含隐藏的信息。如果“用户密码”哈希值是Base64编码的,则它们显示为:

ThiswasnotagooduseofyourtimeButthenagainitwasprobablynotagooduseofmytimeeith

erAndyethereweareXOXOXOLetsLiveHereInThisTinySecretEncodedTextWorldForever ==

更具可读性:

这不是很好用的时间

但话说回来也许不是我的好时光

然而,我们在这里

XOXOXO

让生活在这个微小的秘密编码文本世界永远==

例如,具有最初的唯一散列块:python -c“print”4e18acc1ab27a2d6a0a2876eb1ea1fca’.decode(’hex_codec’)。encode(’base64’)“

最后一个字母“r”未在所示数据中完全编码,但是从“g”到“v”的任何字母产生相同的二进制数据。

标题文字[编辑]

标题文本引用了之前的漫画:Black Hat在如何处理被盗密码方面遇到了麻烦。它还指出盗版Photoshop的用户是这里的赢家。这是因为为了使Photoshop能够盗版,它通过删除注册要求进行了修改(破解),因此他们的密码不会发送到Adobe,因此不会出现在泄漏的文件中。

这部漫画发布后不久,最常见的1000个密码实际上被编译成一组10个互动在线填字游戏,灵感来自漫画。

标题本身是对神秘填字游戏的引用。

Leave a Reply

Your email address will not be published. Required fields are marked *

Categories