Mozilla 洩漏密碼自保法

Firefox 瀏覽器製造商 Mozilla 外洩 76,000 筆開發人員郵件地址,以及 4,000 名會員的密碼,引起不少用戶的恐慌。但其實事件並非如大家想像般那麼嚴重,只要一些簡單的方法便可避免中招。

20140806mozilla多日來媒體的報道,難免令人覺得事件越鬧越大,很多人反面不大了解事件的本積。首先這次的受害者是 76,000名「開發人員」,如果你不曾在 MDN(Mozilla 開發者網站) 註冊帳號,那你外洩郵件地址的機率是零。除非你的運氣不太好的那 4,000 位使用者,Mozilla 雖然把密碼也一起公開了,但流出的密碼都是「加密」過的,也就是說能看到的都是亂碼。由於加密的方式是「不可逆轉」的,以現時的技術不可能利用加密的密碼反查出密碼本身,所以是十分安全的。當然要改密碼也可以,如果你是普通使用者,也就是帳號註冊來同步書籤、設定使用的,請進入「這個頁面」便可變更你的密碼。

為什麼我會說很安全?因為我了解 Mozilla 採用的加密機制。一般的加密手法是用密碼生成一個名為 Hash 的值,例如當密碼是「hello」時,其 Hash 值如下。
2cf24dba5fb0a30e26e83b2ac5b9e29e1b161e5c1fa7425e73043362938b9824
只要改變其中一個英文字母,Hash 值都會變得完全不同。例如當密碼是「hbllo」時,其 Hash 值如下。
58756879c05c68dfac9866712fad6a93f8146f337a69afe7dd238f3364946366
利用 Hash 值的缺點是生成的值是固定的,於是便有人會利用字典的字預先生成 Hash 值,然後與外洩的 Hash 值作對比,這就是常說的「字典攻擊」。只要你使用字典裡有的字作為密碼,就有可能被人用這種方法破解。Windows 便是利用 Hash 值加密的,因此只要用一個名為 Rainbow Tables 的工具,就可以破解 Windows 的登入密碼。 Mozilla 採用的加密方式是 Salted Hashes,同一個字每次生成的 Hash 值都不一樣,因此無法利用上述方式破解。網路上任何機構隨時都有資料外洩的可能,只要認清事實,有必要時採取措施保護自己就足夠了,用不著太慌張。

你可能有興趣的內容

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *