Adobeから盗まれたパスワードデータベースに基づくクロスワード

ご存じのとおり、1か月以上前に、アドビサーバーへのハッカー攻撃を発表しました。その結果、名前、暗号化されたパスワード、銀行カード番号、主要製品のソースコードなどのユーザーデータベースが盗まれました。 当初、約290万の侵害されたアカウントと言われていましたが、現実ははるかに悪かったです。



間もなく、10 GBの130 324 429個の一意のレコードを持つファイルがパブリックドメインに投稿され、誰でもダウンロードして詳細を調べることができました。



画像



ベースダンプ内の各暗号化パスワードは、16進法で8、16、24、32、40、または48文字の長さを持ちます。 アドビはデータが安全に暗号化されていることを保証しましたが、パスワードデータベースを注意深く調べたところ、対称3DESブロック暗号が電子コードブック(ECB)モードで使用され、暗号化の前に各パスワードにゼロ(ASCII NUL)が追加されていました。



画像



データベース内のトップ100の最も人気のあるパスワードはすぐにコンパイルされました。







saltでハッシュするのではなく、単一のキー対称暗号化のかなり古いメカニズムを使用することは、このような立派な企業にとって、前例のない愚かさのようです。 データベースのサイズが大きいため、マスターキーを見つけやすくなり、それを計算する人はダンプ全体を完全に復号化できるようになります。 このアドビの叙事詩ファイルはすでに、警備員の間で無数の悲しいジョークを生み出しています。



画像



xkcdコミックに触発され、みんなは1000の最も人気のあるユーザーパスワードに基づいてクロスワードパズルを作成しました:)







質問として、暗号化されたバージョンが提案されます。答えとして、パスワードを平文で入力する必要があります。 白いブロックをクリックすると、このパスワードの最も一般的なヒントが最大50個表示されます。 楽しい週末!



All Articles