探索：傳說黑客能一秒測試百萬條密碼

    據《紐約時報》報道，LinkedIn是一家數據公司，但它沒有保護好自己的數據。

    上周，黑客攻破網站，竊取600萬用戶密碼，這些密碼保護不周。密碼被公布在俄羅斯黑客論壇上，人人可以看見。LinkedIn被攻擊並非所有人都吃了一驚。每天，企業電腦系統都要受到攻擊。實際上，CBS音樂網 Lastfm.com和約會網站eHarmony上周也受到攻擊，數百萬密碼被偷。

    LinkedIn漫不經心

    讓客戶和安全專家吃驚的是，以收集大量數據並靠它盈利的企業，數據保護方式如何之簡單。洩露事件使得人們開始懷疑LinkedIn的電腦安全。盡管入侵不斷增加，但一些擁有客戶數據的企業仍然繼續在自有電腦安全上下賭注。

    舊金山電腦安全公司 Cryptography Research克歇爾（Paul Kocher）說：“如果它們請教那些知道密碼安全一切詳情的人，這事就不會發生。”

    之所以造成這樣的問題，部分原因在於漫不經心的數據保護態度，因為造成嚴重後果十分罕見。沒有法律上的罰款。客戶很少流失。以LinkedIn為例，在洩露之後它的股價實際上上漲了。

    真正讓大家擔心的問題在於LinkedIn不是一家創業公司，也不是一家對數據不熟悉的企業。去年5月，它成功IPO，它擁有大量現金，它招聘高級人才，而且盈利。它有1.6億會員，這些人分享自己的企業關系，希望建立一個更寬廣更有效的網絡。他們希望自己的網絡受到保護。

    Buzzmedia專業音樂家、產品經理史密斯（Craig Robert Smith）說：“我希望LinkedIn做得更好些。但我沒有刪除帳號，因為它是一個與被招募、網絡有關的網站。”目前尚不清楚黑客如何攻入系統的，也不知道它們在系統中呆了多長時間。LinkedIn沒有設置首席安全官，讓他監督洩露事件。公司的運營資深副總裁大衛。亨特（David Henke）兼管安全問題，還有其它職責。

    黑客一秒測試一百萬密碼

    如果按A級至F級來評價，最高級為A級，專家說LinkedIn、eHarmony和Lastfm.com最多可以拿D級。對待用戶密碼，公司最大意的地方在於將它以純文本形式存儲。RockYou在2009年時被竊取300萬用戶密碼，就是屬於這種失誤。為了保護密碼，最基本的一部保護措施就是進行基本加密，也就是所謂的“散列法”，用一種數學算法對密碼進行掩飾，然後用編碼進行存儲。

    不過，黑客通過自動工具，能在一秒測試一百萬密碼。它們可以破解散列密碼，一般是利用所謂的字典、敏感在線通用密碼數據庫破解。一些網站包涵外文子表，甚至是宗教式的密碼（比如天使angel，神God，這些在破解的LinkedIn密碼中排在前15位）。還有一些黑客使用“彩虹表（rainbow tables）”來破解，上面例有幾乎所有數字字母字符組合哈希值表。一些網站會公布500億哈希值。