Ảnh: AFP.

Một chuyên gia của Khoa Công nghệ máy tính trường Đại học Cambridge, Anh, đã sử dụng thành công Google để bẻ khóa những mật khẩu thiết lập bằng định dạng MD5 (Thuật toán Số-Chữ 5).

Trong một dịp tình cờ, chuyên gia bảo mật Steven Murdoch phát hiện thấy blog cá nhân Light Blue Touchpaper của mình đã bị một kẻ ẩn danh xâm nhập. Kẻ này thậm chí còn thiết lập một tài khoản admin bên trong phần mềm blog Wordpress - vốn được cài đặt trên máy chủ.

Khi tiến hành kiểm tra toàn diện máy tính của mình để xác định mức độ thiệt hại, Murdoch đã bị ấn tượng bởi cách phá mật khẩu Wordpress của hacker.

Do tất cả mật khẩu Wordpress đều thuộc định dạng MD5 và được lưu trữ bên trong cơ sở dữ liệu người dùng nên Murdoch đã viết ra một đoạn mã script, so sánh toàn bộ từ khóa trong từ điển tiếng Anh với MD5 để tìm ra từ tương ứng.

Tuy nhiên, nỗ lực thử nghiệm đầu tiên này đã thất bại, và Murdoch quyết định chuyển sang sử dụng từ điển tiếng Nga. Nguyên do là vì ông đã tìm thấy nhiều comment viết bằng tiếng Nga bên trong đoạn mã được cấy lên máy chủ.

Thế nhưng ngay cả nỗ lực thứ hai này cũng không thành công. Đó là khi Murdoch quyết định nhờ cậy... Google.

Murdoch đã nhập mật khẩu MD5 vào trong Google và nhận được nhiều đường link kết quả với một điểm chung: Cái tên Anthony. Điều đó khiến ông đủ chắc chắn để tin rằng Anthony chính là mật khẩu.

"Google đang kiêm nhiệm cả chức năng của một công cụ bẻ khóa, bởi nó cho phép ta tìm kiếm những mật khẩu từng được mã hóa trước đây. Rõ ràng là Google đang làm công việc mà họ vẫn làm tốt nhất: lưu trữ một cơ sở dữ liệu khổng lồ rồi tìm kiếm trong đó", Murdoch cho biết.

(Theo Vietnamnet/VNUnet)



Bình luận

  • TTCN (2)
Hải Nam  30903

Lần đầu tiên biết đến thuật ngữ "Thuật toán Số-Chữ 5".

Thực ra Google là công cụ tìm kiếm. Còn giải mã kiểu trâu bò (brute force attack) là xây dựng tập hợp [message => encrypted message] (hay là hash, trong trường hợp MD5). Việc xây dựng và tìm kiếm này tốn rất nhiều thời gian, trong khi đó nhiều người đã vô tình "xây dựng" một phần các cặp này, còn Google lại có khả năng "tìm kiếm" => tận dụng để "giải mã".

Tác giả bài báo viết hơi quá lời rằng "bẻ khóa những mật khẩu thiết lập bằng định dạng MD5", thật ra ông kia chỉ [i]may mắn[/i] bẻ khóa được một trong số hàng tỉ tỉ tỉ... trường hợp mà thôi. MD5 dùng 128 bit nghĩa là có khoảng 340 tỉ tỉ tỉ tỉ (= số địa chỉ IPv6) hash, trong khi đó dữ liệu của Google chỉ vào khoảng 200 PB (0,2 tỉ tỉ byte), quá nhỏ bé so với số hash của MD5.

Tóm lại, dùng một mật khẩu không có trong từ điển, thì Google hơi khó để bẻ khóa nếu mật khẩu được mã hóa MD5. Chưa kể thêm cái salt nữa thì Google póchi.zing.vn luôn.

Bùi Bình  1676

Hi đã từng đọc bài báo này nguyên bản tiếng Anh nhưng cảm thấy không hay, do vấn đề giải mã được mật khẩu thường là rất khó, có chăng chỉ là may mắn mà thôi hay mật khẩu thuộc loại dễ đoán hay ngắn, chứ mật khẩu mà dài lên thì Tongue