Google搜尋力量的強大相信許多讀者已經親身體驗過,甚至用Google找出私人的電話住址也不是太奇怪的事了。但是您能想像用Google找出您在網路上使用的密碼嗎?
目前許多網站的使用帳號都會利用密碼保護,而存在資料庫中的密碼如果不是直接用明文儲存(通常不會這樣做,萬一被駭客入侵那後果不堪設想),就是會經由雜湊後(例如MD5或是SHA-1等hash function)再儲存。不久之前Cambridge University security team發生被駭客入侵的事件,駭客翻出了資料庫中的帳號密碼紀錄,但是密碼已經被MD5雜湊處理過所以無法直接使用。經過幾次字典法的嘗試失敗後,駭客把腦筋動到了Google身上,。駭客將本身創建的帳號調整到管理者的權限。駭客入侵的動作很快就被管理者發現,也將新建的帳號關閉,但是管理者進行了一些有趣的實驗希望找出駭客建立的帳號的密碼。在嘗試使用字典法失敗後,轉向從Google上尋找解答。直接把得到的密碼雜湊,20f1aeb7819d7858684c898d1e98c1bb,丟到Google上查詢,結果得到的搜尋結果都含有Anthony這樣的特徵,最後駭客使用這組密碼成功破解最後管理者終於找出了駭客使用的密碼。
原來是因為網頁URL透漏了這樣的訊息!許多程式或系統會用雜湊後的碼來當作網頁的索引,而進行雜湊時所使用的字串也經常與該網頁內容有關。簡單來說,Google成了一個超大的雜湊碼字典了。
資料來源:BLORGE.com
從 FeedSky 訂閱所有文章
