研究人員透露，Adobe已經(jīng)證實(shí)十月份的數(shù)據(jù)泄露事故中有數(shù)百萬密碼被盜，這些密碼最初未按照行業(yè)最佳實(shí)例來保存。密碼的加密方式很容易被破解。

在CSO發(fā)出的聲明中，Adobe證實(shí)了Ars Technica上周五披露的一些細(xì)節(jié)信息，Adobe表示，十月份被盜的密碼并未通過哈希加密，只是經(jīng)過了普通的加密，這意味著Adobe工程師在密碼保護(hù)方面并未按照業(yè)內(nèi)公認(rèn)的最佳實(shí)例來操作。

在密碼存儲和保護(hù)方面，常見的最佳實(shí)例是使用設(shè)計(jì)好的密碼保護(hù)算法，首選的算法有bcrypt，scrypt，PBKDF2或SHA-2。之所以使用這類運(yùn)算法則保護(hù)密碼是因?yàn)椴渴疬@類法則后，強(qiáng)力破解密碼幾乎成為不可能的任務(wù)。如果在這些算法的基礎(chǔ)上，在根據(jù)哈希加鹽法處理，破解的難度進(jìn)一步增加。事實(shí)上，當(dāng)密碼沒有進(jìn)行合適的哈希加密處理時，任何組織都可能出現(xiàn)“敏感數(shù)據(jù)暴露”(OWASP十大安全隱患之中排名第六)的問題。

Adobe稱，驗(yàn)證系統(tǒng)升級后，他們采用SHA-256加鹽法保護(hù)客戶密碼，所以他們用最佳實(shí)例的操作進(jìn)行密碼存儲和保護(hù)已有一年之久。不過，這種升級的系統(tǒng)并不是黑客攻擊的那個。

“該系統(tǒng)并不是2013年10月3號這次攻擊的對象。被攻擊的驗(yàn)證系統(tǒng)原本要退役的備份系統(tǒng)。被攻擊的系統(tǒng)使用Triple DES加密保護(hù)所有保存的密碼信息，”Adobe新聞發(fā)言人Heather Edell對CSO透露。

用Triple DES保護(hù)密碼，與傳統(tǒng)最佳實(shí)例背道而馳，因?yàn)橐罁?jù)其密碼的加密方式，如果黑客猜出密鑰，就能復(fù)原密碼。不過直接攻擊3DES并非易事。所以，Adobe的方法給那些試圖破解被盜密碼清單的人制造了障礙，他們目前尚未破解成功。

此清單包含1.3億Adobe賬戶，對清單的消極檢測依據(jù)反映出一些有意思的數(shù)據(jù)。Stricture Consulting集團(tuán)的Jeremi Gosney根據(jù)一部分?jǐn)?shù)據(jù)就可以編譯出前一百的常用密碼。

“最近的這次泄露事件有130,324,429位用戶受到影響，我們還未掌握Adobe為他們密碼加密的密鑰。不過，由于Adobe在哈希基礎(chǔ)上選擇對稱密鑰加密，選用ECB模式，而且每個密碼使用相同密鑰。再結(jié)合大量已知純文本和用戶在密碼提示中慷慨給出的信息，這就不難讓我們總結(jié)出這一百個Adobe用戶最常用的密碼了。”

從這個“一百個常用密碼清單”來看，將近190萬用戶使用“123456”作為密碼，超過44萬名用戶選擇用“123456789”做密碼。然后就是“password”，“adobe123”和“12345678”。這五個密碼是最常用的。

這次事件泄露的賬戶中，很多人使用的密碼都非常隨意，可以看出他們的Adobe賬戶對他們而言并不重要。不過，每個人都有自己的習(xí)慣，所以循環(huán)使用同一個密碼可能導(dǎo)致這些人的電子郵箱地址被暴露。

如果你想看看自己的電子郵箱是否在網(wǎng)傳的Adobe泄露數(shù)據(jù)中，可以到這里了解(http://adobe.cynic.al/)。如果你的郵箱已經(jīng)暴露，請盡快更改密碼，而且對任何與Adobe泄露事件有關(guān)的聯(lián)系信息都長個心眼。