安防措施不当酿祸 数百万Adobe密码被盗

ZDNET安全频道 11月07日 编译：研究人员透露，Adobe已经证实十月份的数据泄露事故中有数百万密码被盗，这些密码最初未按照行业最佳实例来保存。密码的加密方式很容易被破解。

在CSO发出的声明中，Adobe证实了Ars Technica上周五披露的一些细节信息，Adobe表示，十月份被盗的密码并未通过哈希加密，只是经过了普通的加密，这意味着Adobe工程师在密码保护方面并未按照业内公认的最佳实例来操作。

在密码存储和保护方面，常见的最佳实例是使用设计好的密码保护算法，首选的算法有bcrypt，scrypt，PBKDF2或SHA-2。之所以使用这类运算法则保护密码是因为部署这类法则后，强力破解密码几乎成为不可能的任务。如果在这些算法的基础上，在根据哈希加盐法处理，破解的难度进一步增加。事实上，当密码没有进行合适的哈希加密处理时，任何组织都可能出现“敏感数据暴露”（OWASP十大安全隐患之中排名第六）的问题。

Adobe称，验证系统升级后，他们采用SHA-256加盐法保护客户密码，所以他们用最佳实例的操作进行密码存储和保护已有一年之久。不过，这种升级的系统并不是黑客攻击的那个。

“该系统并不是2013年10月3号这次攻击的对象。被攻击的验证系统原本要退役的备份系统。被攻击的系统使用Triple DES加密保护所有保存的密码信息，”Adobe新闻发言人Heather Edell对CSO透露。

用Triple DES保护密码，与传统最佳实例背道而驰，因为依据其密码的加密方式，如果黑客猜出密钥，就能复原密码。不过直接攻击3DES并非易事。所以，Adobe的方法给那些试图破解被盗密码清单的人制造了障碍，他们目前尚未破解成功。

此清单包含1.3亿Adobe账户，对清单的消极检测依据反映出一些有意思的数据。Stricture Consulting集团的Jeremi Gosney根据一部分数据就可以编译出前一百的常用密码。

“最近的这次泄露事件有130,324,429位用户受到影响，我们还未掌握Adobe为他们密码加密的密钥。不过，由于Adobe在哈希基础上选择对称密钥加密，选用ECB模式，而且每个密码使用相同密钥。再结合大量已知纯文本和用户在密码提示中慷慨给出的信息，这就不难让我们总结出这一百个Adobe用户最常用的密码了。”

从这个“一百个常用密码清单”来看，将近190万用户使用“123456”作为密码，超过44万名用户选择用“123456789”做密码。然后就是“password”，“adobe123”和“12345678”。这五个密码是最常用的。

这次事件泄露的账户中，很多人使用的密码都非常随意，可以看出他们的Adobe账户对他们而言并不重要。不过，每个人都有自己的习惯，所以循环使用同一个密码可能导致这些人的电子邮箱地址被暴露。

如果你想看看自己的电子邮箱是否在网传的Adobe泄露数据中，可以到这里了解（http://adobe.cynic.al/）。如果你的邮箱已经暴露，请尽快更改密码，而且对任何与Adobe泄露事件有关的联系信息都长个心眼。