先前偷情網站Ashley Madison遭到駭客入侵,導致約100GB的敏感資料外流,其中不乏使用者姓名、電子郵件信箱地址,甚至是喜愛的招式等個人資料。整起事件唯一不幸中的大幸就是尚未有使用者的密碼遭公開,然而這個局面隨著使用者密碼資料已被解密而有所改變。
偷情網站遭駭客入侵
Ashley Madison是個知名的「社群網站」,但它與Facebook、Twitter等社群網站不太一樣,一進入Ashley Madiso網站首頁,就能看到聳動的標語「人生苦短,及時行樂」,讓人嗅到一股不尋常的氣息。
其實Ashley Madison是專為已婚人士提供約會服務的網站(簡單的說就是媒合外遇),根據維基百科記載,該網站由埃爾•彼得曼(Noel Biderman)於2001年在加拿大創辦立,服務全球超過29個國家,擁有2,000萬名會員(筆者撰稿時該網站宣稱擁有超過4,100萬名會員),每月平均有180萬人次瀏覽。
由於它特殊的「服務項目」,因此曾被宗教團體批評破壞家庭關係,日前也被駭客組織Impact Team威脅,如果Ashley Madison網站不關閉,就要將會員資料公開在網路上,然而事件的後續發展就是會員資料被攤在陽光下。
當時由於會員密碼受加密保護,所以並未外流,但是根據The Hacker News報導,有1,100萬名會員的密碼已被專門破解密碼的組織CynoSure Prime所解密。
CynoSure Prime發現在2012年6月以前註冊的使用者,其帳號資料是經MD5演算法進行雜湊運算加密,然而MD5演算法的安全性極低並已被破解,所以CynoSure Prime只要破解會員資料的加密方式之後,自然就能竊取使用者的密碼。
▲Ashley Madison是專為已婚人士提供約會服務的網站。
▲筆者撰稿時該網站宣稱擁有超過4,100萬名會員。
▲在Ashley Madison網站已被攻擊之後,官方還宣稱自己保密安全,相當諷刺。
123546懶人密碼奪冠
The Hacker News也公開了前30名熱門密碼名單,使用123456作為密碼的會員人數高達120,511人,為最多人使用的密碼,而12345則榮登第二名,有48,452人使用。其他常見的懶人密碼還包括password、696969、batman、qwerty、abc123、dragon、football、baseball等等,詳細的1至30名排行榜請參考下方附表。
比對先前資安公司SplashData公布了2014年最爛密碼的前25名排行榜,兩者最大的共通點就是123456皆為「最熱門」的密碼。SplashData的執行長Morgan Slain表示,由簡單模式組成的密碼雖然很常見,但卻也很脆弱,任何密碼都不應只單純使用數字,現在也有越來越多網站強制要求使用者建立字母與數字並存的密碼,於是使用者建立了更長的密碼,但它們並不一定足夠安全。
基本上最常見的密碼破解手法不外忽窮舉破解法與字典檔攻擊等方式,所以可以由此推斷,密碼的複雜性越高越好,最好能包含大、小寫英文字母、數字、符號等字元,並且避開使用英文單字或具有意義的詞彙,雖然會這會密碼變得很難記住,不過卻能提高破解密碼的難度。筆者先前撰寫了3篇關於密碼相關知識的文章,有興趣的讀者可以參考下方延伸閱讀。
▲在Ashley Madison網站外流的會員密碼中,最多人使用的是123546。
▲在第11至20名中,開始出現了一些英文單字,不過這種密碼很容易被字典檔攻擊破解。
▲有趣的是把冠軍倒著寫的654321也是榜上有名,位居第26名。
▲2014前25大最爛密碼排行榜名單,其中有不少密碼與Ashley Madison這份名單重覆。
延伸閱讀:
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!