研究人員透露，Adobe已經證實十月份的數據泄露事故中有數百萬密碼被盜，這些密碼最初未按照行業最佳實例來保存。密碼的加密方式很容易被破解。

在CSO發出的聲明中，Adobe證實了Ars Technica上周五披露的一些細節信息，Adobe表示，十月份被盜的密碼并未通過哈希加密，只是經過了普通的加密，這意味著Adobe工程師在密碼保護方面并未按照業內公認的最佳實例來操作。

在密碼存儲和保護方面，常見的最佳實例是使用設計好的密碼保護算法，首選的算法有bcrypt，scrypt，PBKDF2或SHA-2。之所以使用這類運算法則保護密碼是因為部署這類法則后，強力破解密碼幾乎成為不可能的任務。如果在這些算法的基礎上，在根據哈希加鹽法處理，破解的難度進一步增加。事實上，當密碼沒有進行合適的哈希加密處理時，任何組織都可能出現“敏感數據暴露”(OWASP十大安全隱患之中排名第六)的問題。

Adobe稱，驗證系統升級后，他們采用SHA-256加鹽法保護客戶密碼，所以他們用最佳實例的操作進行密碼存儲和保護已有一年之久。不過，這種升級的系統并不是黑客攻擊的那個。

“該系統并不是2013年10月3號這次攻擊的對象。被攻擊的驗證系統原本要退役的備份系統。被攻擊的系統使用Triple DES加密保護所有保存的密碼信息，”Adobe新聞發言人Heather Edell對CSO透露。

用Triple DES保護密碼，與傳統最佳實例背道而馳，因為依據其密碼的加密方式，如果黑客猜出密鑰，就能復原密碼。不過直接攻擊3DES并非易事。所以，Adobe的方法給那些試圖破解被盜密碼清單的人制造了障礙，他們目前尚未破解成功。

此清單包含1.3億Adobe賬戶，對清單的消極檢測依據反映出一些有意思的數據。Stricture Consulting集團的Jeremi Gosney根據一部分數據就可以編譯出前一百的常用密碼。

“最近的這次泄露事件有130,324,429位用戶受到影響，我們還未掌握Adobe為他們密碼加密的密鑰。不過，由于Adobe在哈希基礎上選擇對稱密鑰加密，選用ECB模式，而且每個密碼使用相同密鑰。再結合大量已知純文本和用戶在密碼提示中慷慨給出的信息，這就不難讓我們總結出這一百個Adobe用戶最常用的密碼了。”

從這個“一百個常用密碼清單”來看，將近190萬用戶使用“123456”作為密碼，超過44萬名用戶選擇用“123456789”做密碼。然后就是“password”，“adobe123”和“12345678”。這五個密碼是最常用的。

這次事件泄露的賬戶中，很多人使用的密碼都非常隨意，可以看出他們的Adobe賬戶對他們而言并不重要。不過，每個人都有自己的習慣，所以循環使用同一個密碼可能導致這些人的電子郵箱地址被暴露。

如果你想看看自己的電子郵箱是否在網傳的Adobe泄露數據中，可以到這里了解(http://adobe.cynic.al/)。如果你的郵箱已經暴露，請盡快更改密碼，而且對任何與Adobe泄露事件有關的聯系信息都長個心眼。