为了便于用户回忆密码,许多系统都要求用户填写“密码提示”,然而这样的机制如果使用不当,很可能成为安全短板。
在最近的一次Adobe用户数据泄露事件后,有一份包含超过千万条用户个人信息的文件出现在互联网上。
这份文件包含用户ID、邮箱、经过三重DES加密的密码,以及密码提示。尽管密码已被加密,但“密码提示”可能成为安全短板。
因为这份文件的数据量巨大,其中包含大量相同的,经过三重DES加密后的密码。这意味着,它们对应着相同的原始密码(Hacker News上的网友指出,没有采用合理的加盐机制是Adobe这套密码系统的缺陷)。
凭借多个用户给出的“密码提示”,骇客很可能直接猜测出原始密码。例如在这份数据中,可以搜索到邮箱为“edwardsnowden@hotmail.com”的用户密码密文为“BBRXmv9FVlXioxG6CatHBw==”,而与其相同的数据有207条之多。每条数据都有相应的“密码提示”,几乎不费什么力气就能猜测出原始密码。