北京时间6月11日消息，据《纽约时报》报导，LinkedIn是一家数据公司，但它没有庇护好自己的数据。

上周，黑客攻破网站，窃取600万用户密码，这些密码庇护不周。密码被发布在俄罗斯黑客论坛上，人人可以看见。LinkedIn被抨击打击并不是所有人都吃了一惊。每天，企业电脑系统都要受到抨击打击。实际上，CBS音乐网 Lastfm和约会网站eHarmony上周也受到抨击打击，数百万密码被偷。

LinkedIn漫不尽心

让客户和平安专家受惊的是，以收集年夜量数据并靠它盈利的企业，数据庇护体例如何之简单。泄露事件使得人们起头思疑LinkedIn的电脑平安。虽然入侵不竭增加，但一些拥有客户数据的企业仍然继续在自有电脑平安上下赌注。

旧金山电脑平安公司 Cryptography Research克歇尔(Paul Kocher)说：“如果它们请教那些知道密码平安一切详情的人，这事就不会产生。”

之所以造成这样的问题，部分原因在于漫不尽心的数据庇护态度，因为造成严重后果十分罕有。没有法令上的罚款。客户很少流失。以LinkedIn为例，在泄露之后它的股价实际上上涨了。

真正让年夜家担忧的问题在于LinkedIn不是一家创业公司，也不是一家对数据不熟悉的企业。去年5月，它成功IPO，它拥有年夜量现金，它招聘高级人才，并且盈利。它有1.6亿会员，这些人分享自己的企业关系，希望成立一个更宽广更有效的网络。他们希望自己的网络受到庇护。

Buzzmedia专业音乐家、产品司理史密斯(Craig Robert Smith)说：“我希望LinkedIn做得更好些。但我没有删除帐号，因为它是一个与被招募、网络有关的网站。”目前尚不清楚黑客如何攻入系统的，也不知道它们在系统中呆了多长时间。LinkedIn没有设置首席平安官，让他监督泄露事件。公司的运营资深副总裁年夜卫·亨特(David Henke)兼管平安问题，还有其它职责。

黑客一秒测试一百万密码

如果按A级至F级来评价，最高级为A级，专家说LinkedIn、eHarmony和Lastfm最多可以拿D级。对待用户密码，公司最年夜意的处所在于将它以纯文本形式存储。RockYou在2009年时被窃取300万用户密码，就是属于这种失误。为了庇护密码，最根基的一部庇护办法就是进行根基加密，也就是所谓的“散列法”，用一种数学算法对密码进行掩饰，然后用编码进行存储。

不过，黑客通过自开东西，能在一秒测试一百万密码。它们可以破闭幕列密码，一般是操纵所谓的字典、敏感在线通用密码数据库破解。一些网站包涵外文子表，甚至是宗教式的密码(比如天使angel，神God，这些在破解的LinkedIn密码中排在前15位)。还有一些黑客使用“彩虹表(rainbow tables)”来破解，上面例有几近所有数字字母字符组合哈希值表。一些网站会发布500亿哈希值。

为了避免黑客破解，一些公司会采取一系列的随机数，将它们添加在每个哈希值后，也就是所谓的“salting”，这种手艺可以随机倒置私有密钥的数字，它只需要几行代码，几近没有任何本钱。

平安专家称，对密码进行salting是平安手册第一条，但LinkedIn、eHarmony和Lastfm都没有这样做。在A+级平安级别中，会设置散列密码、拥有复杂的记号功能，进行salting，再将成果转成散列密码，将授权证书别的存放，确保办事器不克不及被黑客攻入。

克歇尔说：“这不是什么复杂的事。”

后果

在泄露之后，Linked一位高管维森特·圣卡塔林纳(Vicente Silveira)在博客中说，公司已经将一般性密码无效化，并说会员会受益于增强的平安办法，这些办法包含将密码散列化，并对目前的密码数据库进行salting。LinkedIn新闻讲话人没有透露什么时候对密码进行散列化、salting化，也没有诠释为何不在一起头就使用。

概况来看，平安性一般的LinkedIn帐号泄露不会有会年夜的恶果。可是黑客深知用户的心态，他们会在许多网站用相同的密码，他们会在邮箱、银行、企业、佣金帐户上使用同一密码，这样一来，黑客可以窃取小我和金融数据。

以LinkedIn为例，黑客贴出640万散列密码，让其它人协助破解。到周四，年夜约60%的密码已经被破解。克歇尔估计最终95%会破解。

在博文中，LinkedIn指出与密码相关的用户名没有被展示出来，但平安专家称，这可能只是因为发布的网站将用户名自己留下来。

格罗斯曼(Jeremiah Grossman)说：“你没有将王冠上的珍珠给他人，是为了让他人争夺。”