花了 4 天，破解 UNIX 联合创始人 39 年前的密码！

From: CSDN App CSDN 2019-10-30

作者 | 伍杏玲

出品 | CSDN（ID：CSDNnews）

互联网时代，密码是我们使用网站的一套安全防线。但很多人对密码设置不上心，怎么简单怎么来：

密码服务公司 SplashData 曾根据 2018 年互联网泄露的 500 多万个密码，整理了一份 2018 年度最烂密码排行榜前1-10位：123456、password、123456789、12345678、12345、111111、1234567、sunshine、qwerty、iloveyou。

普通人如此，技术大佬的密码是否会非常严密呢？

近日，UNIX 联合创始人 Ken Thompson 在 39 年前使用的 BSD 密码被破解一事引起程序员们的热议，登上 Hacker News 的 Top1。

BSD是UNIX的原始版本之一，很多计算机科学领域的先驱使用这系统。

意外得到 UNIX 大佬们哈希密码，程序员全力破解

2014年，开发者 Leah Neukirchen 在 BSD V3 的可公开获取的源代码树中，发现一个“/etc/passwd”文件，该文件含有 20 多个 UNIX 先驱的哈希密码，有 Dennis Ritchie（C语言之父）、Stephen R. Bourne（Bourne shell之父）、Ken Thompson（B语言之父）、Eric Schmidt、Stuart Feldman、Brian W. Kernighan等。

因为文件里所有密码是基于 DES 的 crypt（3）算法来保护，最多为 8 个字符，这样的算法是较弱的。所以 Neukirchen 决定暴力破解这些密码，最终她用 John the Ripper、hashcat 等密码破解工具，几乎成功破解所有人的密码。

但她无法破解Ken Thompson和另外五个大佬的密码，其中包括Bill Joy（Java 之父）。

她说，“Ken Thompson 的密码我无法破解，即使是对所有小写字母和数字的全量搜索需花费几天的时间（早在2014年），但我没有结果。”

Leah Neukirchen意识到与其他的密码哈希方案（如NTLM）相比，crypt(3) 的破解速度要慢得多。她提出疑问：难道大佬的密码是使用大写字母或特殊字符吗？（使用现代GPU进行7位密码的穷尽搜索需2年以上的时间。）”

hashcat跑了整整 4 天，终于破解大佬的密码

几年时间过去，本月初 Neukirchen 决定在 Unix Heritage Society 邮件列表中列出先前的密码破解往事，分享之前的破解结果及遗憾无法破解 Thompson 的密码，希望其他开发者能帮忙破解。

6 天后，这个难题终于被澳大利亚工程师Nigel Williams 破解了！他使用运行速度约为930MH/s的AMD Radeon Vega64 机器，跑了整整 4天的hashcat 才破解的！

破解详情邮件

Thompson的密码竟是“p/q2-q4! ”。这串奇怪的字符看起来像是数学公式，实际上这是国际象棋中的一种符号，用来描述：“线上的棋子(Pawn)向前移动2个方格(pawn from Queen's 2 to Queen's 4)”。q代表Queen，p代表Pawn，这种走棋记法属于国际象棋的代数记谱法。

另外，在破解Thompson的密码后的第二天，另一位邮件列表的成员Arthur Krewat成功破解另外四个未破解的密码。

“p/q2-q4!”到底有多独特？

大佬的思维果然够独特！笔者使用可查询密码被使用次数的网站Have I Been Pwned 查了下p/q2-q4!：在该网站收录的上亿多个真实密码中，没有重复的密码！

没有对比就没有伤害，2018年“烂代码”之王123456的结果是：23547453次！

最后附上已破解其他几位UNIX大佬的BSD密码：

以后大家想密码时又多了新思路，Emm……试试用麻将的规则来设置？

你是如何设置密码的？欢迎来留言哦！

参考：

https://thehackernews.com/2019/10/unix-bsd-password-cracked.html

https://leahneukirchen.org/blog/archive/2019/10/ken-thompson-s-unix-password.html

【END】

CSDN 博客诚邀入驻啦！