|
|
很多菜鸟喜欢用自己的生日,学号,手机号来作为自己网络账号的密码,一个不很专业的黑客随随便便就能够用一些密码破解软件破解掉你的密码。
而对于管理员来说,即使不用密码破解软件,同样可以很容易窃取你的密码,特别是那些非常简单的数字密码。
这里作为菜鸟No.2管理员,我把今晚进入数据库后台产生的一些想法良心告诉给大家。
今晚稍有兴趣登陆论坛数据库后台视察环境,当我打开members表(即会员列表)时看到password列,当然,这里显示的password并不是人人都能看懂的密码,实质上它
是经过加密后的“乱码”,这个32位的“乱码”是不能用来作为密码登陆的,这就是md5。
于是我就想,discuz论坛的后台设置只能给会员改新密码而不能帮会员取回密码,那我现在已经来到数据库后台,脱离了discuz的约束,那是不是能够有机会获得每个在论坛上注册的会员的密码呢???
答案是肯定的。
我找一个死号(注册了很久而又无发帖的号)开刀玩玩,我点击编辑,进入对该会员的编辑页面,更改密码显示方式,郁闷的是改了好几种方式依然看不到类似是密码之类的“乱码”。无办法,只能查看md5。于是我上网找到一些在线破解md5密码的网站,把这个死号的md5拿去破解一下,结果是not found,然后我又找了好几个,其中3个号得出了结果,显示的密码是一堆数字,其他大部分结果都是not found。
目前来说,md5加密技术是最为强大的加密手段,md5是什么?不要问我,自己百度(中原喜欢google,我喜欢百度)。
在网上找到md5加密原理:
md5确属不可逆加密,被美国安全部门定为最安全的网络加密方案
MD5还广泛用于加密和解密技术上。比如在UNIX系统中用户的密码就是以MD5(或其它类似的算法)经加密后存储在文件系统中。当用户登录的时候,系统把用户输入的密码计算成MD5值,然后再去和保存在文件系统中的MD5值进行比较,进而确定输入的密码是否正确。通过这样的步骤,系统在并不知道用户密码的明码的情况下就可以确定用户登录系统的合法性。这不但可以避免用户的密码被具有系统管理员权限的用户知道,而且还在一定程度上增加了密码被破解的难度。
正是因为这个原因,现在被黑客使用最多的一种破译密码的方法就是一种被称为"跑字典"的方法。有两种方法得到字典,一种是日常搜集的用做密码的字符串表,另一种是用排列组合方法生成的,先用MD5程序计算出这些字典项的MD5值,然后再用目标的MD5值在这个字典中检索。我们假设密码的最大长度为8位字节(8 Bytes),同时密码只能是字母和数字,共26+26+10=62个字符,排列组合出的字典的项数则是P(62,1)+P(62,2)….+P(62,8),那也已经是一个很天文的数字了,存储这个字典就需要TB级的磁盘阵列,而且这种方法还有一个前提,就是能获得目标账户的密码MD5值的情况下才可以。这种加密技术被广泛的应用于UNIX系统中,这也是为什么UNIX系统比一般操作系统更为坚固一个重要原因。
结论:
1,管理员是有可能查看到你的密码,无论是大科技论坛的管理员还是你校园网论坛的管理员。一般的管理员(仅有论坛后台设置的权限)只能帮你改新密码,旧密码是看不到的,也看不到你密码的md5。而像我这样连数据库也可以上的管理员则更加可能在数据库那里获知你的密码,因为我可以查看到你的md5,虽然md5几乎是牢不可破,但还是会有一些工具,一些网站能够破解的。
2,设置不规则的,数字字母结合的密码是王道。
今晚的“破解”是很无奈的,输了10多个才那么2,3个密码是破得出来,都是数字密码。
所以,大家还是要相信MD5。如果某天你发现我能够把你复杂的密码也破到的话,请告诉我,我马上退学。
3,QQ密码,各大论坛密码,邮箱,博客账号,密码等最好不要相同,有些懒人(比如我)就喜欢在很多论坛里用相同的账号和密码,如果你去的是有别有用心的网站,论坛
,或者恰好那个管理员头脑发热喜欢看别人MD5的话,可能就会遭到无可计量的损失。
此贴仅为本人良心而发 |
|
狗仔卡
发表于 2008-12-14 03:14
提升卡
置顶卡
变色卡
发表于 2008-12-14 12:16
发表于 2008-12-14 15:16
发表于 2009-11-6 10:18
