Tag Archives: bcrypt

Dropbox 儲存密碼的方式

記得 Dropbox 前陣子才強迫所有使用者重設密碼:「The Dropbox hack is real」,官方的報告在這:「Resetting passwords to keep your files safe」,當時洩漏出來的資訊可以知道 2012 年的時候 Dropbox 用的是 SHA1: What we've got here is two files with email address and bcrypt hashes then another two with email addresses and SHA1 hashes. … Continue reading

Posted in Cloud, Computer, Murmuring, Network, Programming, Security | Tagged , , , , , , , , , , , , | Leave a comment

這次的 Ashley-Madison 資料外洩

在「Notes on the Ashley-Madison dump」這邊給了這次婚外情約會網站 Ashley Madison 資料外洩的註解,甚至還包括 BitTorrent 的 magnet:// 下載連結... 將近四千萬筆資料的資料外洩 (實際約三千六百萬),男性為大宗,約 28 million 是男性,5 million 女性 (依據 gender 欄位),有 2 million 無法確認。不過如果交叉比對信用卡資料,會發現只有男性付費: It's heavily men. I count 28-million men to 5 million woman, according to the "gender" … Continue reading

Posted in Computer, Murmuring, Network, P2P, Security, WWW | Tagged , , , , , , , | Leave a comment

Slack 密碼外洩

Slack 由於發現密碼外洩,剛剛發佈了資安通報:「March 2015 Security Incident and the Launch of Two Factor Authentication」。 這次也因此推出了兩個功能: Two Factor Authentication (2FA),使用者可以設定 2FA 登入。 Password Kill Switch,管理者可以強制重設所有人的密碼。 另外也透漏使用 bcrypt 為密碼演算法,只要密碼強度夠強,即使透漏出去應該也是不會有問題 (當然換掉還是比較好)。

Posted in Computer, Murmuring, Network, Security | Tagged , , , , , , | Leave a comment

各種密碼破解速度...

oclHashcat-plus 提供了透過 GPU 破解的 benchmark 數據: 可以看到 PBKDF2、sha512crypt $6$ 以及 bcrypt $2a$ 的速度慢得很漂亮 XD 不過 SHA512 的速度比 SHA256 慢不少倒是頗意外... PBKDF2 的使用率很高 (因為無線網路 WPA/WPA2 的規格),所以各語言的普及率也高不少,如果要找個標準來用的話,PBKDF2 相當不錯...

Posted in Computer, Murmuring, Security | Tagged , , , , , , , , , , | Leave a comment

htpasswd 的 SHA 不會帶 salt (seed)...

剛剛發現 htpasswd (Apache 的 .htpasswd 檔案產生程式) 提供的 SHA-1 不會使用 salt,不過 MD5 格式會... 以密碼「test」測試: gslin@colo-p [~] [17:44/W7] touch test.txt gslin@colo-p [~] [17:44/W7] htpasswd -b -m test.txt test1 test Adding password for user test1 gslin@colo-p [~] [17:44/W7] htpasswd -b -m test.txt test2 … Continue reading

Posted in Computer, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , , , | Leave a comment