你的密碼還安全嗎？

密碼安全是一個(gè)系統(tǒng)的基本安全要素， 讀者這次投遞的稿件論述只用MD5進(jìn)行密碼HASH并不安全， 如果將這個(gè)HASH數(shù)值保存在數(shù)據(jù)庫中， 有可能會被人破解。 我認(rèn)為， 比較安全的密碼保存方法是MD5(用戶名+用戶密碼+隨機(jī)數(shù))， 這個(gè)HASH數(shù)值不僅無法反向破解， 而且無法替換， 完美的解決了讀者的這個(gè)疑問。 以下是讀者的投遞文章。

　　你的密碼安全嗎?你覺得你的密碼已經(jīng)很復(fù)雜了?密碼再復(fù)雜， 都有可能被破解掉。

　　讓我們做個(gè)實(shí)驗(yàn)吧， 你手里有數(shù)據(jù)庫嗎?如果有， 用數(shù)據(jù)庫的函數(shù)計(jì)算你的密碼md5值。

　　如果沒有， 可以到這個(gè)網(wǎng)站去計(jì)算。 為了你的密碼安全， 不要用“真”的密碼去試， 虛擬一個(gè)密碼吧。 我拿密碼“goodday ”來試驗(yàn)。 在上面的網(wǎng)站計(jì)算goodday的md5值(32位)。 得出結(jié)果0CF21CE35322D2E56D745E319B933470

　　我們拿這個(gè)值到這個(gè)網(wǎng)站去破解吧。 得到的結(jié)果是什么?goodday!說明這個(gè)密碼并不安全。

　　為什么這么說?假如你是某論壇的用戶， 因?yàn)檫@個(gè)論壇管理不當(dāng)， 或其它人為原因， 導(dǎo)致數(shù)據(jù)庫被“偷”。 那你的用戶名和密碼就被hacker拿去了， 他們可以通這類似的網(wǎng)站“破解”你的密碼。 有了你的用戶和密碼， 可以在這個(gè)論壇以你的名義發(fā)貼， 修改。 可以查你相關(guān)的資料， 然后以相同的密碼試你在其它應(yīng)用上的帳號， 比如說qq， facebook之類的。

　　md5的反算是相當(dāng)麻煩的， 甚至可以說是不可行的(據(jù)說山東某大學(xué)的女博士破解了它， 但破解方法有多少人懂?)。 但為什么可以通過md5值“破解”掉密碼呢?其實(shí)cmd5這個(gè)網(wǎng)站做得相當(dāng)?shù)暮唵危?它只是不是用數(shù)據(jù)庫兩個(gè)字段而已， 一個(gè)字段保存原來的字符串， 一個(gè)字段保存字符串的md5值。 它通過存儲過程(或其它程序)插入一些字符串(如密碼字典)， md5值由數(shù)據(jù)庫生成。 頁面查找只是查找相關(guān)記錄而已。

　　然后， 這個(gè)字符串添加的渠道就是個(gè)問題了。 這些網(wǎng)站似乎還沒有意識到這個(gè)利益。

　　假如說， 這些網(wǎng)站提供用戶查詢功能， 包括md5的正向運(yùn)算， 用戶好奇要算算自己密碼的md5值。 算完后， 網(wǎng)站“順便”把它的密碼和md5值保存起來， 日積月累， 那這個(gè)數(shù)據(jù)庫就相當(dāng)于一個(gè)超大的密碼字典， 賣出去肯定值錢。

　　如果有人以這個(gè)數(shù)據(jù)庫作為密碼字典寫破解程序， 破解起來就容易多了。

　　我覺得， 這些都應(yīng)該引起sysadmin， DBA， 技術(shù)總監(jiān)和網(wǎng)絡(luò)警察的注意。

　　傳統(tǒng)密碼離它死去的日子還有多遠(yuǎn)?