Ashley Madison加密存漏洞 千萬密碼遭破解

Ashley Madison加密存漏洞 千萬密碼遭破解
Photo Credit: carlosalbertoteixeira, CC0

我們想讓你知道的是

Ashley Madison帳戶資料被放上網,包括已加密的密碼。然而其加密方式有漏洞,以致過千萬帳戶的密碼被破解。分析發現,最多帳戶使用的密碼分別是“123456”及“12345”。

早前網站Ashley Madison遭黑客入侵,3千6百萬用戶的資料被放上網絡,包括電郵和已加密的密碼。

黑客入侵全球最大偷情網站 3千萬客戶資料或外洩
做了虧心事,隱私外洩活該嗎?Ashley Madison會員資料外洩啟示錄

電腦保安公司Avast早前便成功破解部份密碼,總數約2萬7千筆資料,然而只有千多個密碼。換言之,很多用戶都使用同一組密碼。

Avast指出,最多人使用同時是最差的兩組密碼——“123456”及“password”——穩佔首兩位。有超過76組密碼僅用數字,另外有25組密碼包含“love”這個字。

「動物系」的密碼則包括 “panther”、“panthers”、“tiger”、“tigers”、“rabbit”、“poohbear”、“piglet”等。還有其他簡單密碼僅使用州份名稱如“newyork”、“florida”和“california”等,甚至月份如“december”、“november”和“september”。

Photo Credit: AP/達志影像

Photo Credit: AP/達志影像

然而Ashley Madison被指在加密上犯錯,以致部份密碼變得較容易破解。一個自稱CynoSure Prime的組織,日前利用該漏洞,破解了近1千2百萬個密碼,不重覆的共約486萬個。

按CynoSure Prime的資料,最多人使用的密碼仍然是“123456”,有超過12萬個帳戶使用,大幅拋離4萬8千人使用的“12345”,“password”跌至第三位,有3萬9千人使用。

在千多萬個帳戶當中,有近5百萬帳戶的密碼只用上小楷字母,4百多萬帳戶密碼用上小楷字母及數字,過百萬帳戶只以數字作密碼。長度方面,大部份密碼的長度為6至8個字元,最短的密碼僅有1個字,最長的則有28字。

CynoSure Prime表示,與其放上標準但沉悶的「首10/50/100個多人使用的密碼」列表,他們其中一位成員替部份密碼分類,為讀者提供娛樂︰

以為多加數字便能令密碼更難破解的用戶
mypasswordispassword
superhardpassword
thebestpasswordever
thisisagoodpassword

懷疑要不要上Ashley Madison的用戶
ishouldnotbedoingthis
ithinkilovemywife
thisiswrong
whatthehellamidoing
whyareyoudoingthis
cheatersneverprosper
donteventhinkaboutit
isthisreallyhappening

否認自己想偷情的用戶
likeimreallygoingtocheat
justcheckingitout
justtryingthisout
goodguydoingthewrongthing

以為Ashley Madison是約會網站的用戶
lookingfornewlife
friendswithbenefits

信任Ashley Madison的用戶
youwillneverfindout
youwillnevergetthis
secretissafewithme

網絡漫畫xkcd學習設定密碼的用戶
batteryhorsestaple
correcthorsebatterystaple

也許發現Ashley Madison製造假帳戶的用戶
nothingfound
theywererobots
nobodyhere

其他有趣的密碼
everynameitriedwastaken
allthegoodpasswordshavegone
lickemlikeshelikesit
lildickinyourpussyn0w
satisfactionwithlicking
blackfromthewaistdown
smalldickbuthardworker

看到這兒覺得需要重新設定密碼的讀者,可向斯諾登學習如何改密碼︰