知名源代码仓库Github日前遭到大规模暴力破解密码的攻击,一些帐号被成功攻破。
“我们向受影响的用户发送了邮件,通知他们需要采取的措施。”
“他们的密码被重置,个人访问令牌、OAuth授权和SSH密钥都已经被取消。”
然而,GitHub使用了bcrypt算法加密密码,这种算法理应能够抵御暴力破解应为它会用很长时间加密每一个密码。
在GitHub工程师Shawn Davenport的博文中,他提到来自四万个IP地址的暴力破解攻击攻破了一些常用的密码。这些主机被用来破解弱密码。
除了一些普通的强度要求,如长度和字符搭配之外,他们在网站里禁止了一些高频使用的弱密码并且有一套严格的登录次数限制。
常见密码如Password1, Password123, Qwerty123, access14, admin123, bond007, letmein, pa55w0rd, passw0rd, password1, password123等等。
“调查正在进行,并且一旦我们发现有关于源码或者针对敏感帐号信息的未授权活动,我们会通知大家。”
受影响的GitHub帐号的确切数量不得而知,但GitHub现在的注册页面规定密码需要至少七位,并有至少一个小写字母和一个数字。
总之,选择一个好的,不容易被破解的密码,如使用数字,字母和字典上没有的单词,并且在各个帐号或服务中使用独立唯一的密码。
