一個自稱CynoSure Prime的黑客團隊聲稱，在剛剛過去的10天里已經(jīng)破解了上超過1100萬使用Bcrypt算法的散列密碼。

上個月黑客攻破了外遇網(wǎng)站Ashley Madison并在網(wǎng)上泄露3700萬用戶信息，其中包括了3700萬的加密密碼。

這個散列密碼使用的是Bcrypt算法來加密密碼，該算法實行“加鹽”的哈希密碼，以防止被彩虹表破解?，F(xiàn)在很多操作系統(tǒng)的密碼都是用Bcrypt函數(shù)作為默認的散列算法。

維基百科解釋說：

“bcrypt是一種自適應(yīng)的算法：隨著時間的推移，迭代次數(shù)可以增加，使其速度更慢，所以即使BF算法計算能力不斷地提升，它依然能夠抵抗暴力搜索攻擊，”

團隊如何破解散列密碼?

攻擊本身的想法是暴力破解Ashley Madison帳戶的MD5 tokens而不是Bcrypt算法。

這個團隊分析了攻擊者在網(wǎng)上泄露的數(shù)據(jù)，發(fā)現(xiàn)有個會泄露用戶的散列密碼、網(wǎng)站和執(zhí)行電子郵件源代碼的漏洞和MD5散列算法的使用有關(guān)。

　　他們審查了代碼，發(fā)現(xiàn)一組能加快破解哈希密碼的函數(shù)。

“我們發(fā)現(xiàn)了兩個有趣的函數(shù)，發(fā)現(xiàn)我們可以利用這些函數(shù)來快速破解bcrypt哈希。”

通過觀察兩個不同的函數(shù)，他們找到了以最大的速度破解bcrypt散列密碼的方法。他們采取了個更有效的方法直接攻擊MD5(lc($username)."::".lc($pass))并用 MD5(lc($username)."::".lc($pass).":".lc($email).":73@^bhhs&#@&

^@8@*$")tokens來代替。

在函數(shù)中的$loginkey變量貌似是用于自動登錄，但是他們并沒有花太多時間進一步調(diào)查。

通過采用這種策略，該黑客團隊獲得了1120萬的密碼。不過這個過程目前僅應(yīng)用于賬戶的部分。