北京时间 6 月 13 日凌晨,A 站发布公告称网站遭遇黑客攻击,近千万条用户数据外泄,雷锋网今早对此事件进行了报道(点这里)。
不过,在 A 站发布的公告中,雷锋网(公众号:雷锋网)还发现一些待考究的细节,比如,公告中说泄漏的是 A 站已经加密存储的密码,那既然不是明文密码,泄漏之后会被黑客破解吗?A站所说的更强的密码策略,到底是什么?拖库的部分数据已经能在 github 上看到,A站到底是什么时候知道用户的数据泄漏的?摩拜真的被拖库了?已在暗网上售卖的网站 shell 和 内网权限究竟会对用户和A站产生什么样的影响?
带着这些疑问,雷锋网编辑找到了知道创宇云安全负责人西盟。
1.泄漏的是已经加密存储的密码,并不是明文,后果严重吗?
在公告中,AcFun 表示泄露的数据包括用户 ID、昵称以及加密存储的密码。
也就是说,黑客拿到的并不是你的明文密码,那这些加密存储的密码是否会被很快破解?
西盟告诉雷锋网,一般而言,网站对密码的存储都是加密存储,真实密码是多少,A站也不知道。
比如,你的密码是345678,但在 A 站中,可能是下图红框中的16位或32位的一串数字。
▲某MD5加密算法密码破解网站
只是,加密算法有容易破解的,也有难度较大相对不容易破解的。目前市面上最常见的加密算法是 MD5,由于使用的范围比较广,所以也“成功”吸引了黑客的注意,目前,针对这类加密算法,已经有很多在线的破解网站,而且破解的能力可能有点超出你的想象。
如果你的密码是六位以内的密码,而且你所登录的网站还用的是MD5的加密算法,那么,不用怀疑,只要这家网站被黑客盯上,你的密码一扫一个准(上图中写的是100%)。
