האקר פרץ לבלוג של צוות האבטחה באוניברסיטת קיימברידג' (הנקרא Light Blue Touchpaper Blog), בעזרת ניצול חולשות בהתקנת ה-WordPress שלהם, ו"שדרוג" מעמדו לאדמיניסטרטור של הבלוג. אבל כאן רק מתחיל הסיפור. לאחר שגילו חברי הצוות את הפריצה ותיקנו את הבעיה, הם החליטו לאתר את הסיסמא של ההאקר, והם עשו זאת בעזרת חיפוש בגוגל.
הסיסמא מופיעה בגוגל
אין זו משימה פשוטה לאתר (או לשחזר) סיסמא של משתמש כלשהו באתר זה או אחר. הסיסמאות הוצפנו על-ידי MD5 hash, כך שאיתורן עלול לארוך מיליוני שעות מחשב. ה-MD5 (או Message Digest algorithm 5) הוא אלגוריתם תמצות מסרים גרסא 5, מעין פונקציה המאפשרת לעבד הודעות ולפלוט ערך בגודל קבוע של 128 סיביות. מה שמתקבל היא מחרוזת טקסט באורך 32 תווים, במקום הקלט (במקרה זה הסיסמא) שהוקלד.
אכן, בעיה. אך סטיבן מורדוך מצוות האבטחה עלה על פתרון. הוא שאל את עצמו למי יש אלפי שעות מחשבים הרצים כל הזמן, אשר חלקם מייצרים MD5 hashes, והתשובה לא אחרה לבוא: באינטרנט יש לא מעט כאלה. סטיבן לקח את המחרוזת שהתקבלה מבסיס הנתונים,, והעתיק אותה לשורת החיפוש בגוגל. התוצאה התקבלה מיד: הסיסמא המוצפנת הייתה "Anthony".
סיסמאות טובות יותר
הבעיה היחידה היא, שכל אחד יכול להשתמש בשיטה זו, כולל לאיתור סיסמאות שלכם באתר בו אתם משתמשים. שימוש בשיטה יאפשר בקלות להוציא פרטים אישיים, לשנות הרשאות ולגנוב זהויות. האם יש פתרון? לא בטוח, אבל בהחלט ניתן להקשות על איתור הסיסמא, וזאת על-ידי שימוש בסיסמאות מורכבות, ארוכות ככל האפשר ומקוריות, הכוללות גם אותיות וגם מספרים.
הידיעה הופיעה ב-3 מקורות מובילים בעולם:
VNUNet
Guardian
TechSpot