美媒实测：黑客一小时可破解超过一万个密码

5月29日消息，据美国科技网站Ars Technica报道，该网站最近邀请3名黑客进行密码破解的实验，以了解已加密密码的安全性，然而，实验发现，就算外泄的密码不是明码文字，而是以加密的散列(hash)码形式呈现，这些黑客仍能在1小时内破解超过1万个密码，其中还包含长达16字符、夹杂英文与数字的密码。

Ars Technica是从网络上下载约1.65万组的加密密码，并邀请来自Stricture Consulting Group的密码专家Jeremi Gosney、来自oclHashcat-plus的开发人员Jens Steube，以及代号为radix的黑客进行破解密码的实验。

为了保障用户的安全，有不少网站在服务器端储存的是已加密的散列密码，例如实际为arstechnica的密码会变成c915e95033e8c69ada58eb784a98b2ed，当使用者在登陆时输入的仍是arstechnica，但网站会将其加密并与服务器端储存的密码进行比对。

不过，Ars Technica实验发现，Steube与radix在一小时内分别破解了82%与62%的密码组，Gosney则花了20个小时破解了9成的密码，在一小时内就被破解的密码中，还包含像是qeadzcwrsfxv1331等长度多达16字符的密码。

这些黑客利用字典及蛮力破解法(brute-force crack)，从破解顺序可发现，越短的密码越容易破解、单纯使用文字或数字的密码也越容易破解、只使用字典中的词汇也很容易破解。

除了上述专家外，没有技术背景的Ars Technica副主编Nate Anderson也加入了这项实验，他在5月的某天早上才学会如何破解密码，但当天就破解了8000组，他说，即使他知道破解密码不难，但没想到竟是如此容易。他只是上网下载了用来破解的加密密码，下载了密码破解器、找到生字资料库，然后就成功了。