暴雪证实黑客可能获取了用户密码等信息,表示盐化哈希加密形式的密码难以破解。但安全专家指出,加密密码破解并没有暴雪形容的那么难。暴雪利用Secure Remote Password(SRP)协议将明文转变成哈希值,SRP主要用于保护在网络上传输的密码,而不是储存到网站数据库中的密码。
TapLink的创始人Jeremy Spilman称,暴雪错误声称SRP加密密码非常难以被破解,SRP并不能保护失窃的暴雪密码。
但暴雪辩解说,它采用了改进的SRP协议实现,使用了一个1024比特模数,而不是原设计的256比特模数,这一调整使得密码破解时间增加约了64倍。SRP是一种鲜为人知的哈希方法,密码破解软件如 Hashcat 和John the Ripper都不支持,但在暴雪承认黑客入侵不到24小时,John the Ripper主要开发者Alexander Peslyak表示要让程序支持SRP。 |