Hash chaining degrades security at Facebook
Hash chaining degrades security at Facebook
基本信息
- 论文ID: 2510.12665
- 标题: Hash chaining degrades security at Facebook
- 作者: Thomas Rivasseau (McGill University)
- 分类: cs.CR (Cryptography and Security)
- 发表时间: October 2025
- 论文链接: https://arxiv.org/abs/2510.12665
摘要
Modern web and digital application password storage relies on password hashing for storage and security. Ad-hoc upgrade of password storage to keep up with hash algorithm norms may be used to save costs but can introduce unforeseen vulnerabilities. This is the case in the password storage scheme used by Meta Platforms which services several billion monthly users worldwide. In this paper we present the first example of an exploit which demonstrates the security weakness of Facebook's password storage scheme, and discuss its implications. Proper ethical disclosure guidelines and vendor notification were followed.
研究背景与动机
问题定义
本研究要解决的核心问题是:现代大型互联网平台为了节约成本而采用的渐进式哈希算法升级策略可能引入严重的安全漏洞。
问题重要性
- 影响规模巨大:Meta平台拥有约40亿月活用户,安全问题影响范围极广
- 行业代表性:Facebook作为技术领先企业,其做法可能被其他公司效仿
- 理论与实践差距:展示了理论上安全的哈希链在实际应用中可能存在根本性缺陷
现有方法局限性
传统的密码存储升级方案需要:
- 维护两套哈希表(旧MD5和新SHA1)
- 等待所有用户重新登录以完成迁移
- 处理长期不活跃用户的数据迁移问题
- 承担高昂的系统重构成本
研究动机
Facebook工程师为避免上述成本,创造性地采用了哈希链方案,但这种"巧妙"的解决方案实际上引入了严重的安全漏洞,需要深入分析其安全影响。
核心贡献
- 首次揭示Facebook密码存储的根本性安全缺陷:证明其哈希链方案的安全强度被降级到最弱环节MD5的水平
- 提供可工作的漏洞利用代码:展示了实际的哈希碰撞攻击,能够使用错误密码登录Facebook账户
- 全面分析安全影响:详细评估了该漏洞对数十亿用户及OAuth生态系统的影响
- 遵循负责任披露原则:在公开前已向Meta报告漏洞并获得确认
方法详解
漏洞分析框架
Facebook哈希链架构
Facebook的密码存储采用如下哈希链:
password = pw
md5(pw) = m
sha1(m, salt) = s1
sha256(s1, secret) = s2
scrypt(s2) = s3
sha256(s3) = value
安全缺陷识别
核心问题:整个哈希链的安全强度被限制在第一步MD5算法的强度上。
数学证明:对于两个不同的候选密码a和b,如果md5(a) = md5(b),那么:
a ≠ b
md5(a) = m(a) = m(b)
sha1(m(a), salt(a)) = s1(a) = s1(b)
sha256(s1(a), secret) = s2(a) = s2(b)
scrypt(s2(a)) = s3(a) = s3(b)
sha256(s3(a)) = value(a) = value(b)
漏洞利用方法
碰撞对选择
使用Marc Stevens在2024年发布的MD5碰撞对:
a = TEXTCOLLBY fGiJUETHQ4hEcKSMd5zY pgqf1YRDhkmxHkhPWptrkoyz28wnI9V 0aHeAuaKnak
b = TEXTCOLLBY fGiJUETHQ4hAcKSMd5zY pgqf1YRDhkmxHkhPWptrkoyz28wnI9V 0aHeAuaKnak
验证:md5(a) = md5(b) = faad49866e9498fc1719f5289e7a0269
攻击流程
- 创建Facebook账户,设置密码为字符串a
- 退出账户,清除浏览器数据
- 使用字符串b作为密码尝试登录
- 结果:登录成功,证明漏洞存在
实验设置
测试环境
- 平台:Facebook.com
- 测试时间:论文撰写时(2025年10月)
- 验证方法:实际账户创建和登录测试
验证步骤
- 账户创建:使用MD5碰撞对中的第一个字符串作为密码
- 环境重置:更换设备/网络以模拟不同用户环境
- 攻击验证:使用第二个碰撞字符串尝试登录
- 结果确认:系统性验证攻击成功率
实验结果
主要发现
- 攻击成功率:100%(在测试时间内系统性成功)
- 漏洞确认:Facebook确实仍在使用2014年公布的哈希链方案
- 安全降级:密码安全强度从预期的256位降级至123-128位
安全影响评估
直接影响
- 账户访问:可使用非原始密码登录Facebook账户
- 密码恢复复杂度:从2^256降低至2^123-2^128
- 标准合规性:不符合NIST安全标准
- 密码熵限制:最大有效密码熵仅15-16字符
生态系统影响
- OAuth服务:所有使用Facebook OAuth登录的第三方服务均受影响
- 企业用户:使用Facebook企业服务的组织面临安全风险
相关工作
密码哈希发展历程
- 早期方案:MD5算法(2000年代初)
- 安全问题发现:2005年Lenstra等人展示MD5碰撞攻击
- 官方弃用:2008年卡内基梅隆大学建议停用MD5
- 现代标准:NIST推荐SHA-256及以上算法
渐进升级策略
- 传统方案:双表并行,逐步迁移
- Facebook方案:哈希链叠加
- 安全权衡:成本效益与安全性的平衡
结论与讨论
主要结论
- 根本性缺陷:Facebook的哈希链方案存在设计层面的安全缺陷
- 实际可利用:漏洞可被实际利用,影响数十亿用户
- 标准违背:不符合当前网络安全标准和最佳实践
- 生态影响:影响整个Facebook OAuth生态系统
局限性分析
- 攻击前提:需要能够设置账户密码,限制了实际威胁场景
- 防护措施:双因子认证等额外安全措施可缓解风险
- 计算复杂度:对于随机密码,寻找碰撞仍然困难
- 用户行为:大多数用户密码熵较低,传统攻击可能更有效
未来研究方向
- 大规模迁移策略:研究既安全又经济的密码存储升级方案
- 哈希链安全分析:建立哈希链安全性的理论框架
- 实际威胁评估:量化该类漏洞的实际安全风险
深度评价
优点
- 重大发现:揭示了影响数十亿用户的实际安全漏洞
- 严谨方法:从理论分析到实际验证的完整研究流程
- 负责任披露:遵循了适当的漏洞披露流程
- 实用价值:为行业提供了重要的安全警示
不足
- 威胁模型局限:攻击场景相对受限,实际威胁可能被高估
- 技术深度:对MD5预像攻击的分析不够深入
- 解决方案缺失:未提供具体的修复建议
- 影响量化:缺乏对实际攻击成本和收益的定量分析
影响力评估
- 学术价值:为密码存储安全研究提供了重要案例
- 工业影响:可能推动大型平台重新审视密码存储策略
- 标准制定:为相关安全标准的完善提供参考
- 教育意义:展示了成本导向决策可能带来的安全风险
适用场景
- 大型互联网平台:需要处理海量用户密码升级的企业
- 安全审计:企业安全团队评估现有系统的参考
- 学术研究:密码学和网络安全相关研究
- 政策制定:网络安全监管政策的制定参考
参考文献
本文引用了30篇相关文献,涵盖:
- 哈希算法安全性研究(NIST标准、MD5漏洞分析)
- 密码存储最佳实践(OWASP指南、CISA建议)
- Facebook技术分享(2014年密码会议演讲)
- 相关安全事件和数据泄露案例
研究意义:本研究不仅揭示了一个影响数十亿用户的实际安全漏洞,更重要的是提醒整个行业,在追求成本效益的同时不能忽视安全的根本原则。哈希链的安全强度取决于其最弱环节,这一发现对于指导未来的密码存储系统设计具有重要价值。