Hacker mencuri gigabyte data dari Ashley Madison termasuk nama login, password dan kode situs
Lebih dari 11 juta password yang dicuri dari Ashley Madison situs perselingkuhan kencan telah diterjemahkan, kata kelompok password cracking.
Ketika data dicuri dari situs ini pertama kali dibuang, password terenkripsi dikatakan hampir uncrackable karena cara mereka bergegas.
Tapi perubahan pemrograman oleh pengembang situs berarti lebih dari sepertiga dari password yang buruk dilindungi.
Kelompok retak mengatakan tidak akan berbagi password didekode.
Namun, itu telah rinci metode yang digunakan untuk mendapatkan password yang akan membuatnya mudah bagi hacker kriminal untuk meniru pekerjaan. Ini mungkin berarti mereka yang digunakan kembali mereka sandi Ashley Madison bisa melihat account lain dilanggar.
perlindungan miskin
Website Ashley Madison dilanggar oleh sekelompok hacker yang disebut Dampak Tim yang mencuri gigabyte data termasuk nama login dan password lebih dari 30 juta pengguna.
Analisis awal dari dump data menunjukkan bahwa password yang disimpan di database setelah mereka telah dilindungi dengan menggunakan proses yang dikenal sebagai hashing yang mempekerjakan algoritma bcrypt.
Cara ini mengacak password membuat sulit untuk melaksanakan apa yang disebut "brute force" serangan yang mencoba banyak kombinasi kata dan huruf yang berbeda karena hashing dengan bcrypt membutuhkan banyak daya komputer. Akibatnya, serangan brute force pada password akan mengambil tahun.
Namun, sebuah kelompok password cracking amatir disebut pusat perhatian Perdana mencari melalui kode juga dicuri dari Ashley Madison menyadari bahwa di beberapa titik lokasi mengubah cara password disimpan. Ini dilucuti dengan bcrypt perlindungan diberikan pada password.
Dalam blogpost, kelompok mengatakan telah menemukan dua fungsi tidak aman dalam kode situs yang dimaksud itu "mampu mendapatkan meningkatkan kecepatan yang sangat besar dalam retak bcrypt yang hash password".
Alih-alih mengambil tahun, 11 juta password yang retak di sekitar 11 hari.
Kerupuk sandi dieksploitasi perubahan Ashley Madison dibuat dengan cara itu disimpan password
Fungsi tidak aman melibatkan penggunaan lebih mudah untuk menyerang sistem hashing dan mengubah situs yang dibuat untuk password ketika mereka dimasukkan oleh pengguna.
Dengan memusatkan perhatian pada langkah-langkah yang rentan kelompok telah berhasil menguraikan 11,2 juta password dan berharap dapat memecahkan total lebih dari 15 juta yang bergegas dengan fungsi yang tidak aman.
Password yang tersisa dari situs yang tidak rentan terhadap serangan ini karena mereka hash oleh kode kurang fungsi tidak aman.
Kelompok itu mengatakan tidak akan melepaskan password itu telah pulih untuk "melindungi pengguna akhir".
Pusat perhatian Perdana mengatakan tidak yakin persis mengapa pengembang Ashley Madison telah mengubah cara bahwa itu ditangani dengan password yang memperkenalkan fungsi tidak aman.
Ini berspekulasi untuk situs berita Ars Technica that the insecure hashing system was introduced to ensure that users could log in to the site quickly.
No comments:
Post a Comment