刚才在月光博客上看到一有关MD5的安全性问题的文章,文章写得不错,但是我个人还有一些想补充的地方,算是对作者这个文章的补充。
对于一些经常上网的网民来说,密码是必不可少的,你上论坛,就得注册用户,自然就会有密码,你如果有用到网银交易,就会有网上交易密码之类的,还有支付宝之类的一些常见的支付密码。虽然我对网银和支付宝的用户密码方式不是太清楚,但是有一点你要清楚,如果有黑客把社会工程学利用得好,就可以通过你别的常用密码来获取到你的个人密码习惯,然后获取到你的常用密码组合;不要以为我是在吓你,网上有很大一部分人群的常用论坛账号或是QQ登陆密码等等差不多就是一个密码,其实这是相当危险的。
文章中有用一个密码用MD5加密,然后通过MD5破解到还原后的密码。可以看出现在的MD5密码加密其实也并不是百分百的安全,至少一部分加密后的密码可以在网上免费查出来,原理也相当简单,就是通过数据库比对的方式查询已知的加密密码的MD5来获取到原密码,文章中作者有一点没有提及到,这个解密的网的站的一些信息,你登陆这个MD5解密网站就会在最上面看到:
本站拥有世界上最大的数据库,查询速度也很快,大部分查询是免费的。
实时查询共有457,354,352,282条,已包含11位及11位以下数字、8位小写字母、7位小写字母加数字、6位大小写字母加数字等组合。
后台分布式查询记录共有176,149,422,453,689条,包含12位数字、9位小写字母加数字、7位任意字符。
这说明了,如果你的密码是非常简单的纯数字,纯字母,或是简单的组合,在小于一定位数以下,就能很容易被人破解出来,如果你的账号不是非常重要当然无所谓,但是如果你的账号很重要,那么就非常重要了,比如:如果你是一个站长,你的网站的后台让某个黑客知晓了,并且也获取到你的用户以及加密后的MD5值密码,那你的网站就有危险了,我在落伍上面写过一篇有关网站安全的问题,其中有涉及到密码的复杂性要求,如果你有兴趣,可以上落伍论坛搜索一下!
话说那个解密的网站,据说那个网站现在的解密数据量达到TB级别,现在大部分黑客在入侵的时候都有用到过这个网站的解密功能,相信不少网站的沦陷都有这个解密站点的帮忙。还有一点就是,这个网站对于一些简单的解密是免费的,对于一些复杂的密码,就需要付费了。
原文的作者有提到说利用用户查询MD5密码的时候搜集这些信息,然后制成数据库再卖钱,这一点我觉得可行性还是有的,但是做起来却不是那么容易,毕竟收集比较耗时,而且量并不一定大,有人曾传言:MD5的解密数据都是收集了很多国内外大型社区的用户数据库整理来的,人家用现在成的,省了收集这个程序。按照之前的说法,数据库达到TB级别了,再用这个数据库做破解程序,似乎有点过份了,这个程序,估计得是这个世界上最大的一个程序了。
MD5加密方式现在应当还死不了,用的人多,在没有更安全的加密方式通用以前,MD5还得用着,谁让用户群大呢!
说了这么多,无非是想提醒大家,个人密码尽量复杂一点,长一点就安全一点,组合多一点就更安全一点,经常更换无规律的密码就更安全了;前提是,别复杂得自己都搞忘了!
读者浪子投稿