作为Unix的原始版本之一，沐鸣开户Q554258BSD是一个古老的操作系统。因此，用今天的标准来衡量，它使用了奇怪甚至可笑的安全措施，也就不足为奇了。首先，保护密码的哈希函数虽然在40年前还是最先进的，但现在要破解它已经不重要了。更奇怪的是，一些BSD创建者的密码散列包含在公开的源代码中。然后，还有人们选择的密码。

 

上周，技术专家Leah Neukirchen报告说找到了大约1980年BSD版本3的源代码树，并成功地破解了许多早期计算机先驱的密码。在大多数情况下，成功是由于用户选择了容易猜到的密码。

 

例如，BSD的共同发明人Dennis Ritchie使用了“dmac”(他的中间名是MacAlistair);Stephen R. Bourne是Bourne shell命令行解释器的创建者，他选择了“Bourne”;埃里克·施密特(Eric Schmidt)是Unix软件的早期开发者，现在是谷歌母公司Alphabet的执行董事长。(他妻子的名字);Unix自动化工具make的作者和第一个Fortran编译器的作者Stuart Feldman使用了“axolotl”(一种墨西哥蝾螈的名字)。

 

其中最薄弱的是Unix贡献者Brian W. Kernighan的密码:“/.，/。表示一个三个字符的字符串，使用QWERTY键盘上的相邻键重复两次。(所有密码都没有引号。)

 

但至少有五个明文密码仍然无法破解。他们包括那些属于土耳其计算机科学家Ozalp Babaoğlu, Unix Howard Katseff软件开发人员和Unix伦敦贡献者汤姆和鲍勃Fabry至关重要。但是，占用Neukirchen时间最长的似乎是另一位Unix联合发明者Ken Thompson使用的密码。

 

“我从来没有尝试用散列ZghOT0eRm4U9s破解ken的密码，我想我列举了整个8个小写字母+特殊符号键空间，”Neukirchen在上面链接的线程中报告说，该线程发布在Unix传统协会的邮件列表中。“任何帮助都是受欢迎的。”

 

从前沿到危险的过时

 

稍后我将讨论结果，但首先讨论Descrypt，这是BSD 3操作系统的默认哈希算法。Descrypt在1979年首次亮相时，代表了密码散列的前沿技术。其中最主要的改进是:它是第一个使用密码salt的散列函数——随机选择一个附加到密码中的文本字符串，旨在防止相同的明文输入具有相同的散列字符串。它也是第一个将明文输入置于多个哈希迭代的项目。通过25次迭代，这个所谓的键拉伸过程显著增加了攻击者破解散列所需的时间和计算量。

 

然而，Descrypt在20多年前就被弃用了，因为破解工具变得越来越强大，功能也越来越好。以今天的标准来看，Descrypt还远远不够(尽管有时仍在使用，这对最终用户造成了很大的损害)。

 

Descrypt将密码限制在8个字符以内，这一限制使得终端用户几乎不可能选择真正强大的凭证。Descrypt使用的盐只提供了12位的熵，相当于两个可打印字符。这个小的salt空间使得大型数据库可能包含数千个hash字符串，攻击者可以同时破解它们，因为hash字符串使用相同的salt。

 

Jeremi m . Gosney密码破解的密码安全专家和首席执行官公司Terahash告诉Ars Descrypt太过疲弱,过时的,他的一个公司的10-GPU Inmanis电器(价格:32000美元)可以用每秒145亿猜测围困Descrypt散列(钻井平台可以集群实现更快的结果)。由于实际应用的限制，1979年的Descrypt密钥空间大约为249个，仅一台钻机的速度就足以使整个Descrypt密钥空间在不到10个小时内完成，而使用破解工具(如单词列表、蒙版和变形规则)的时间更短。这个网站还将破解Descrypt hashe，只需100美元。

这些弱点意味着，Neukirchen发布的未破解哈希将不可避免地被破解。但由于大多数论坛成员都不是经验丰富的密码破解者，他们似乎使用了效率较低的技术。周三，也就是Neukirchen寻求帮助的第六天，论坛成员Nigel Williams提供了Thompson的明文密码:“p/q2-q4!(不包括引号)。

 

使彻底失败

 

它“用AMD Radeon Vega64运行hashcat 4天以上，在这段时间内，大约930MH/s(那些熟悉的人知道，hashcat的频率波动，并在接近结束时减慢)，”威廉姆斯报道。AMD Radeon Vega64是一个显卡，Hashcat是一个密码破解程序，它利用了显卡强大的并行计算能力。

 

在威廉姆斯发信息几小时后，论坛成员Arthur Krewat提供了其余四个未破解的哈希密码。他们是:

 

Katseff: graduat;

 

Babaoğlu: 12 ucdort

 

Fabry: 561 cml . .

 

伦敦:. . pnn521

 

论坛成员迅速指出，汤普森的密码“p/q2-q4!”是描述国际象棋中一种常见的开局动作的符号。

 

“如果我没记错的话，”另一位论坛成员插话道，“这个密码的前半部分是在一件纪念贝尔第一次半动作的t恤上，沐鸣开户测速尽管它的符号可能有所不同。贝尔是汤普森和约瑟夫·亨利·康顿发明的象棋机器的名字。Rob pike是论坛的一名成员，他在贝尔实验室的时候就参与了Unix项目的工作。

 

尽管这很有趣，但我觉得这种黑客行为令人反感。这在过去是令人不快的，现在仍然如此。人们对黑客攻击的态度已经改变;现在的情况似乎是坏人在做这件事，所以好人应该因为先做这件事而得到奖励。往好了说，这是虚伪的，往坏了说，这是危险的。

 

这是一个有趣的想法，提出了一个关于挖掘真实的人的密码的道德问题。然而，最终，我发现自己倾向于研究密码破解。在过去的十年里，来自大学和其他地方的研究人员一直在研究破解密码。最终结果是:我们现在比十年前更了解如何选择强密码。论坛成员库尔特·H·迈尔在回应派克时措辞得体。

 

迈尔写道:“我们并不是坐在别人的苹果笔记本电脑前，拿着彩虹桌面。”“在这一点上，这些东西具有历史意义。‘一个散列要有多少年的历史才能被解码’是一个值得回答的有效问题，但将这种考古与主动攻击相比较有点荒谬。”

 

尽管如此，我们还是希望埃里克•施密特(Eric Schmidt)和他的公司能够改变这些老式密码。