В первом сообщении о краже паролей миллионов своих пользователей компания Adobe сказала, что гражданам нечего опасаться, потому что пароли зашифрованы.
Пока сообщество не получило базу с паролями, фраза о «зашифрованных» паролях была непонятной. Можно было предположить, что Adobe имела в виду хеширование. Ведь алгоритмы хеширования тоже формально являются алгоритмами шифрования. В случае нормального хеширования с использованием соли можно было бы не опасаться, что злоумышленники расшифруют базу паролей.
Но истина оказалась не такой радостной. Файл с 130 324 429 паролями users.tar.gz вскоре попал в открытый доступ, так что все получили возможность убедиться, как именно зашифрованы пароли. При этом выяснилось, что утечка данных имеет беспрецедентный масштаб: речь идет вовсе не о 2,9 млн паролей, как утверждала Adobe изначально.
Каждый зашифрованный пароль в дампе имеет длину 8, 16, 24, 32, 40 или 48 символов в шестнадцатеричной системе. При этом можно заметить, что многие шифротексты повторяются. Например, значение EQ7fIpT7i/Q= (base64) встречается 1 911 938 раз. Следующий по популярности пароль j9p+HwtWWT86aMjgZFLzYg== встречается 446 162 раза, и так далее.
В последние годы проводилось немало статистических исследований парольных баз. Поэтому известно, что самый популярный пароль в интернете — 123456. Используя список популярных паролей и шифротекст из базы, можно сделать вывод, что Adobe использовала симметричный блочный шифр 3DES в режиме Electronic Code Book (ECB), при этом перед шифрованием к каждому паролю добавлялся нолик в конце (ASCII NUL).
Вот список 100 самых популярных паролей в базе Adobe.
Общий ключ для шифрования всех паролей должен быть найден в ближайшее время.
