有关MD5加密后的密码安全讨论
作者:浪子 来源:月光博客 发布时间:2009-08-18 12:27:00
刚才在月光博客上看到一有关MD5的安全性问题的文章,文章写得不错,但是我个人还有一些想补充的地方,算是对作者这个文章的补充。
对于一些经常上网的网民来说,密码是必不可少的,你上论坛,就得注册用户,自然就会有密码,你如果有用到网银交易,就会有网上交易密码之类的,还有支付宝之类的一些常见的支付密码。虽然我对网银和支付宝的用户密码方式不是太清楚,但是有一点你要清楚,如果有黑客把社会工程学利用得好,就可以通过你别的常用密码来获取到你的个人密码习惯,然后获取到你的常用密码组合;不要以为我是在吓你,网上有很大一部分人群的常用论坛账号或是QQ登陆密码等等差不多就是一个密码,其实这是相当危险的。
文章中有用一个密码用MD5加密,然后通过MD5破解到还原后的密码。可以看出现在的MD5密码加密其实也并不是百分百的安全,至少一部分加密后的密码可以在网上免费查出来,原理也相当简单,就是通过数据库比对的方式查询已知的加密密码的MD5来获取到原密码,文章中作者有一点没有提及到,这个解密的网的站的一些信息,你登陆这个MD5解密网站就会在最上面看到:
本站拥有世界上最大的数据库,查询速度也很快,大部分查询是免费的。
实时查询共有457,354,352,282条,已包含11位及11位以下数字、8位小写字母、7位小写字母加数字、6位大小写字母加数字等组合。
后台分布式查询记录共有176,149,422,453,689条,包含12位数字、9位小写字母加数字、7位任意字符。
这说明了,如果你的密码是非常简单的纯数字,纯字母,或是简单的组合,在小于一定位数以下,就能很容易被人破解出来,如果你的账号不是非常重要当然无所谓,但是如果你的账号很重要,那么就非常重要了,比如:如果你是一个站长,你的网站的后台让某个黑客知晓了,并且也获取到你的用户以及加密后的MD5值密码,那你的网站就有危险了,我在落伍上面写过一篇有关网站安全的问题,其中有涉及到密码的复杂性要求,如果你有兴趣,可以上落伍论坛搜索一下!
话说那个解密的网站,据说那个网站现在的解密数据量达到TB级别,现在大部分黑客在入侵的时候都有用到过这个网站的解密功能,相信不少网站的沦陷都有这个解密站点的帮忙。还有一点就是,这个网站对于一些简单的解密是免费的,对于一些复杂的密码,就需要付费了。
原文的作者有提到说利用用户查询MD5密码的时候搜集这些信息,然后制成数据库再卖钱,这一点我觉得可行性还是有的,但是做起来却不是那么容易,毕竟收集比较耗时,而且量并不一定大,有人曾传言:MD5的解密数据都是收集了很多国内外大型社区的用户数据库整理来的,人家用现在成的,省了收集这个程序。按照之前的说法,数据库达到TB级别了,再用这个数据库做破解程序,似乎有点过份了,这个程序,估计得是这个世界上最大的一个程序了。
MD5加密方式现在应当还死不了,用的人多,在没有更安全的加密方式通用以前,MD5还得用着,谁让用户群大呢!
说了这么多,无非是想提醒大家,个人密码尽量复杂一点,长一点就安全一点,组合多一点就更安全一点,经常更换无规律的密码就更安全了;前提是,别复杂得自己都搞忘了!
猜你喜欢
- 由于百度自然排名有时候喜怒无常,经常会出现巨大的跳跃性和不稳定性。一、先说跳跃性:关注的一个新站,在做了一些搜索引擎优化以后,大概30天左右
- 本篇文章讲的是提高WordPress自带的搜索功能的体验,使用Google CSE的可以飘过。随着站内信息的增多,站内搜索成为了每个网站必不
- 80后创业者的消费志:将记账演变成一种商业模式这个冬天,对财客在线的运营总监田克山来说,有点不寻常!1983年出生的他,刚在互联网这个行业摸
- Google中文网站管理员博客在《由抄袭造成的重复内容》文章中提到:“鉴别内容的原创来源是Google所擅长的,在大多数情况下原创内容源都能
- 个人站长如何选择做站项目,说白了就是如何给自己的网站定位,确定自己的网站做什么主题,献给打算做站或者重新做站的站长以为他们选择做站主题提供个
- 有一段时间用户经常问我们,如果某个网站在谷歌机器人搜索时处于关闭状态,那么该网站在谷歌搜索结果中的“可见度”是否会受到负面影响。有时网站关闭
- 北京时间11月13日消息,据国外媒体报道,微软在英国取消了其搜索引擎Bing的beta测试版标签,同时还发布了Bing地图英国版,用户在访问
- 现在先谈pr的定义和意义!Google网页级别。英文是Page Rank,缩写是PR。所谓网页级别,是由 Google的两位创始人Larry
- 北京时间10月1日消息,中华网游戏今日宣布,《指环王》(LOTRO)的封测已经顺利完成。据统计,封测期间用户的每日平均游戏时间达到了3.9小
- 由于各种原因,我们有时候需要在一个IP地址上建立多个web站点,在IIS5中,我们可能通过简单的设置达到这个目标。在IIS中,每个 Web
- 我用的一个文章列表加上序号效果css代码部分 <style type="text/css">&nb
- 前些天安装完了Discuz7.2,由于是在win主机上安装的php程序,伪静态化,不能使用.htaccess这种方式,因此查了相关关文章,说
- 昨日收到Godaddy发给我的一封域名转让成功的信,现将详细转入过程分享给大家。域名转移前要满足一下条件:1.要转移的域名必须满足注册满60
- Windows2003服务器安装及设置教程好久没有更新了,正好最近上了一台服务器,正好把剩下的几篇补全,今天先说的是MSSQL安全篇第二篇—
- Godaddy虚拟主机支持ZEND和GD Library.Zend Optimizer™和GD Library 已经安装在所有的linux共
- 首先介绍下,本人做站一年多,朋友都喜欢称呼我静水,一开始自己什么都不懂通过朋友介绍用了DEDE做了一个文章站,刚开始的时候感觉还不错,没有出
- 概述微软的最新邮件系统Exchange server2007中新增加了一项服务:自动发现服务(auto discover service).
- 网站管理员们经常会面对诸多需要帮助用户重定向到其他页面的情况。不幸的是,对任意目的地开放的重定向很可能被滥用。这是一个防不胜防的滥用形式,因
- SEO的未来发展趋势互联网是一个庞大的信息和数据来源,大部分的互联网用户依靠搜索引擎找资料,组织网上信息是一个庞大的任务,搜索引擎优化目的就
- Inside Facebook博客曾发布了一篇名为“我有25万名用户,但是那又怎样呢?”的帖子,其作者提到了一个在Facebook上拥有40