上周末 LastPass 的网络遭到入侵,一份电子邮件地址列表以及主密码的哈希值被盗。建议 LastPass 用户在多个安全网站上更改密码。 https://blog.lastpass.com/2015/06/lastpass-security-notice.html/
根据上面的 LastPass 链接,“LastPass 使用随机盐和 100,000 轮服务器端 PBKDF2-SHA256 来增强身份验证哈希,以及在客户端执行的轮次。”。
拥有强密码(30 多个随机字符)的人是否有任何真正的理由去更改他们的主密码?我的理解是,使用随机盐和 100,000 轮 PBKDF2-SHA256 和长密码,即使黑客的预算等于世界 GDP,密码也不会受到暴力攻击。我问这个问题是为了确保我没有遗漏任何东西。
如果您的密码是 30+ 个随机字符,则可能的密码数量远远超过 95^30,即 2.14e59。
Oclhashcrack页面给出了 SHA256 的样本破解率为 16,904 Mh/s 。所以让我们假设“等于世界 GDP 的预算”将允许 100 万台这样的计算机执行破解。(为简单起见,我们忽略了 10,000 轮)。
计算机每秒可以猜测 160 亿次哈希乘以 100 万台计算机。这相当于每秒大约 1.6e16 次猜测。因此它仍然需要 1.3e43 秒,这等于宇宙年龄的 3.1e25 倍。将计算机数量乘以 10,您将下降到宇宙年龄的 3.1e24 倍。
所以最后考虑一下,10000轮意味着hash计算会减少10000。进一步考虑哈希是随机加盐的。这意味着攻击必须针对特定的哈希。
如果我们认为攻击者已经访问了 Lastpass 网络,那么攻击者更有可能通过在您登录网站时以明文形式截获 30+ 随机字符密码的明文。Lastpass 没有给出任何迹象表明这已经发生,但这将是更改密码的现实理由。
我认为真正的危险不是结构化的猜测。猜测平均需要 30 多个密码或密码短语。但平均而言,这也意味着他们在第一天可能会有一些运气,而且你不希望你的密码是幸运的。
真正的危险是包含数百万个已知密码的现有列表。将它们一一散列并将散列与被盗散列进行比较是非常可行的。我看到的列表包含:
yTp3HHuuCTo9kyTp3HHuuCTo9kyTp3HHuuCTo9k
xc3xacntrxc3xackulxc3xacmbroqulxc3xac
yankeesayka-ofrp3olgavaner8913gruscha
werhnbkliopfdsrftgwerhnbkliopfdsrftg
欢迎elquehacequeelcorazonyore_21
不管什么阿杜拉齐兹.ahmadjonov.1977
williamshort.guy.with.blonde.hair
所有 30 多岁,都处于危险之中。据我所知,应对这种已知密码列表风险的唯一方法是随机选择您的字符或单词。如果您还没有这样做,您的 30+ 密码就有风险。