Mạng xã hội nghề nghiệp lớn nhất thế giới là nạn nhân mới nhất của tin tặc mũ đen khi mật khẩu của gần 6,5 triệu tài khoản của họ bị công bố trên một diễn đàn.
Một tin tặc hôm 3/6 đã gửi lên diễn đàn danh sách mã băm SHA-1 của khoảng 1,5 triệu mật khẩu và nhờ... crack hộ. Chỉ hơn hai giờ sau, 3/4 số mật khẩu này bị crack. Danh sách mật khẩu này được cho là của dịch vụ hẹn hò trên mạng eHarmony.
Sau đó, cũng chính tin tặc trên lại gửi một danh sách khác gồm 6,46 triệu mã băm SHA-1. Đây là mã băm của mật khẩu và không có muối, nên việc dò tìm mật khẩu cũng nhanh hơn rất nhiều. Dù vậy, độ phức tạp của các mật khẩu trong danh sách này khá cao, chứng tỏ đa phần thành viên rất nghiêm túc trong việc chọn mật khẩu.
Một số thành viên phát hiện ra rằng mật khẩu của họ, vốn chỉ dùng trong LinkedIn, có trong danh sách trên. Ngay lập tức, giả thuyết được đưa ra là mạng xã hội nghề nghiệp này đã để lộ mật khẩu. Đến cuối ngày, LinkedIn đưa ra thông báo chính thức về việc này, cho biết những thành viên lộ mật khẩu đều được gửi thư thông báo và yêu cầu phải tạo mật khẩu mới trước khi đăng nhập.
Có nhiều chi tiết thú vị về danh sách mật khẩu này của LinkedIn:
- Độ phức tạp của mật khẩu khá cao: có nhiều mật khẩu phức tạp, gồm số, chữ hoa, các kí tự đặc biệt ở dòng trên cùng của bàn phím.
- Có 3,5 triệu mã băm bắt đầu bằng 00000 - các chuyên gia cho rằng tin tặc đã giải mã được những mật khẩu này và thay 5 kí tự đầu tiên bằng 00000. Thật vậy, các mật khẩu đơn giản như "password" có mã băm là 5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8 nhưng mã này không tồn tại trong danh sách, thay vào đó là 000001e4c9b93f3f0682250b6cf8331b7ee68fd8. Tương tự với các chuỗi như "secret" hay "linkedin".
- 2,9 triệu mã băm không bắt đầu bằng 00000 có thể giải mã tức thời bằng phương pháp John the Ripper (tức là các mật khẩu này có trong "từ điển" được tính sẵn từ trước).
- Danh sách này không chứa giá trị trùng nhau. Do đó, số tài khoản bị lộ phải nhiều hơn con số 6,5 triệu.
- Danh sách này không chứa tên đăng nhập, nên mặc dù được công bố rộng rãi nhưng không ai có thể khai thác được. Tất nhiên, chúng ta có thể suy luận rằng, tin tặc có danh sách kèm với tên đăng nhập, nhưng không công bố ra, vì điều này không giúp ích gì trong việc giải mã mật khẩu.
Cuối cùng, có lẽ bạn nên đổi mật khẩu LinkedIn ngay bây giờ trước khi quá muộn.
Tổng hợp.
Bình luận
Mới đọc vô thấy mâu thuẫn : "Đây là mã băm của mật khẩu và không có muối" mình cứ nghĩ là mấy người này đặt mật khẩu kiểu "thiếu muối" (ngớ ngẩn), một hồi đọc xuống lại thấy mật khẩu đặt "phức tạp", "nghiêm túc"
! Thì ra là do hiểu sai.
Sau khi tìm hiểu, thuật toán SHA-1 có thêm "salt" để thay đổi kết quả mã băm (hash), tránh tấn công theo kiểu từ điển.
Để tránh bài viết dài dòng nên mình không giải thích chi tiết. Những cái bạn nói là chính xác. Mình chỉ bổ sung thêm là để an toàn hơn, thì với mỗi mật khẩu cũng cần một lượng muối khác nhau để tránh việc khi một mật khẩu bị lộ (do đó muối cũng bị phát hiện) thì kẻ tấn công chỉ việc tạo lại từ điển sau đó là có thể tấn công hàng loạt.
Ngoài ra, muối không chỉ có trong SHA-1 mà bất kì mã băm nào cũng dùng muối được (do muối thay đổi dữ liệu vào trước khi đưa vào hàm băm).