你的密码真的安全么?你有几套常用密码?
你的密码真的安全吗?你觉得你的密码已经很复杂了?密码再复杂,都有可能被破解掉。
让我们做个实验吧,你手里有数据库吗?如果有,用数据库的函数计算你的密码md5值。 如果没有,可以到这个网站去计算。为了你的密码安全,不要用“真”的密码去试,虚拟一个密码吧。我拿密码“goodday ”来试验。在上面的网站计算goodday的md5值(32位)。得出结果0CF21CE35322D2E56D745E319B933470
我们拿这个值到这个网站去破解吧。得到的结果是什么?goodday!说明这个密码并不安全。
为什么这么说?假如你是某论坛的用户,因为这个论坛管理不当,或其它人为原因,导致数据库被“偷”。那你的用户名和密码就被hacker拿去了,他们可以通这类似的网站“破解”你的密码。有了你的用户和密码,可以在这个论坛以你的名义发贴,修改。可以查你相关的资料,然后以相同的密码试你在其它应用上的帐号,比如说QQ,facebook之类的。
md5的反算是相当麻烦的,甚至可以说是不可行的(据说山东某大学的女博士破解了它,但破解方法有多少人懂?)。但为什么可以通过md5值“破解”掉密码呢?其实cmd5这个网站做得相当的简单,它只是不是用数据库两个字段而已,一个字段保存原来的字符串,一个字段保存字符串的md5值。它通过存储过程(或其它程序)插入一些字符串(如密码字典),md5值由数据库生成。页面查找只是查找相关记录而已。
然后,这个字符串添加的渠道就是个问题了。这些网站似乎还没有意识到这个利益。
假如说,这些网站提供用户查询功能,包括md5的正向运算,用户好奇要算算自己密码的md5值。算完后,网站“顺便”把它的密码和md5值保存起来,日积月累,那这个数据库就相当于一个超大的密码字典,卖出去肯定值钱。
如果有人以这个数据库作为密码字典写破解程序,破解起来就容易多了。
落雪后缀:
我看完这篇文章,带给我的启示:
1. 不要在小网站里面输入你的“通用用户名、通用密码”。
2. 即使你习惯于使用“通用用户名、通用密码”注册安全性不高的站点,那么一定保证不要在这些站点上面留下
重要信息:QQ号、邮箱号、手机号等等。
3. 如果你已经使用“通用用户名、通用密码”注册了很多网站,那么请及时更换你的密码。并且能够保证有3套
不同的密码供你使用。一套是安全度极高的,一套是普通的,还有一套是随意的。这样会极大的保护你的个
人隐私安全。
4. 密码最好以字母+数字进行,如果能够字母(大小写)+数字+符号是最理想的,微软的Server 2008对管理员
就是这么要求的。
