雅虎10億賬戶遭泄露，距離上一次5億數(shù)據(jù)泄露過去沒多久，雅虎又一次讓我們大吃一驚，這一次雅虎泄露的賬戶數(shù)量足足有10億之多。Freebuf上周也對此事進(jìn)行了報(bào)導(dǎo)。

2013 年夏天，雅虎推行一個新項(xiàng)目來保障用戶密碼，同時宣布放棄舊有的安全性不佳的 MD5 加密方案。希望通過這一舉措更好地保障用戶密碼安全。然而為時已晚，一切來得太遲了。同年八月份黑客入侵雅虎盜取了超過十億條賬戶信息，賬戶密碼和個人信息一并在泄露之列。失竊信息如此之大堪稱歷史之最。而雅虎三年之后才察覺到這此數(shù)據(jù)失竊，并在上周對外公布。

數(shù)據(jù)被盜的確是個很大的悲劇，然而當(dāng)被盜數(shù)據(jù)還很容易破解的事情，情況就更難堪了。是的，你沒有看錯。雅虎直到這次的泄露事件發(fā)生之前，存儲用戶數(shù)據(jù)使用的加密算法都是MD5。眾所周知，MD5算法十分的脆弱，互聯(lián)網(wǎng)上存在各種免費(fèi)/付費(fèi)的MD5加密/解密網(wǎng)站，短短幾秒就能完成。來看看國外專家是怎么評價(jià)雅虎的泄露。

來自AgileBits的安全專家Jeffrey Goldberg說：

其MD5哈希是否被加鹽依然是個迷，因?yàn)檠呕⒃谄渎暶髦袥]有提及這一關(guān)鍵信息。這樣的做法無疑將減少很多使用MD5帶來的風(fēng)險(xiǎn)。先不論雅虎用的MD5，SHA1還是SHA256，最重要的是雅虎是否添加過鹽值。因?yàn)橥耆珱]有理由使用沒有添加鹽值的哈希數(shù)。

Ty Miller(一家悉尼安全公司的董事)說：

MD5哈希算法已經(jīng)被認(rèn)為是不安全的加密算法，早20年前就已經(jīng)被玩壞了。

MD5碰撞在1996年的時候發(fā)現(xiàn)，發(fā)展于2005年。我認(rèn)為像雅虎這種大公司使用MD5這種過時的加密算法的做法是欠考慮的，它給用戶的承諾就是保護(hù)用戶的數(shù)據(jù)不會泄露。

你怎么可以連鹽都不加?

Goldberg曾在2012年LinkedIn泄露事件中指責(zé)沒有在hash里加鹽，他將這件事與雅虎的數(shù)據(jù)泄露聯(lián)系起來。有興趣的可以看看(傳送門)：

針對LinkedIn，用了MD5還是SHA1算法可能都無所謂，而是他喵的根本沒有添加鹽值。就像我在2012年曾辯稱，LinkedIn使用未加鹽的哈希是不負(fù)責(zé)任的，這句話現(xiàn)在對雅虎也是適用的，如果他們的哈希確實(shí)是沒有加鹽的話。
在這次泄露的10億賬戶中，除了100萬雅虎用戶的姓名、密碼、生日、手機(jī)號，泄露的數(shù)據(jù)庫還包括備份電子郵件地址，甚至包括用于重置密碼的安全問題和答案——關(guān)鍵某些安全問題和回答是還是未加密的。

所以，雅虎和我們強(qiáng)烈建議用戶們盡快重置密碼以及對應(yīng)的安全問題。

當(dāng)然，如果你在其它地方使用了相同的密碼以及安全問題，也一起改了吧。

cc

收藏 海報(bào)分享