最近在MMDays看到一篇文章:你的密碼安全嗎?
了解到原來網路上的密碼大多是經過MD5加密的
在好奇心的驅使之下,我把飛卡論壇的資料庫打開,查詢了每個會員經過加密的密碼。


在嘗試了幾組密碼後發現,沒錯,Discuz討論區的密碼是以MD5技術加密的,曾經以為這些經過加密的密碼有辦法破解,但事實上卻是不可能的,因為經過MD5加密後的字串是無法反推回去的。這也就是為什麼有很多論壇的站長都跟會員說:請放心的輸入你的密碼,就連站長都不會知道你的密碼。

這是真的。

也因為MD5無法被反推破解,於是就有人架了一個MD5資料庫在收集MD5的密碼,在Web2.0這種網路快速發展的時代下,相信不用經過幾年MD5就會被建檔到可以破解80%以上的密碼了,因為除了高階使用者外,一般使用者打的密碼重覆性都很高。並且很有可能以後只要在Google的Search bar中輸入加密過後的MD5就可以找到原始密碼了,這會是很恐怖的事情。

雖然這在資安上嚴重造成了威脅,但對我來說卻這是很棒的消息,為什麼呢?因為當MD5無法完全保障使用者的安全後,也就表示搞資安的人必須研發出更多不同的加密方法。我想這將會讓網路加密技術更加多元化,MD5資料庫的成立還是有它好的面向的。

教大家一個設安全密碼的方法,那就是用毫無意義的英文大小寫+數字的組合密碼(如果系統支援符號的話可以再加入符號),如:
4~D5r/fG9xw

這種組合的密碼如果要用暴力嘗試法也要經過好個月才會被破解。

然後記得每隔一段時間要把順序更改一下,如:
D5r/fG9xw4~

這樣往後你只要記一組密碼就可以了。

但假如你非要選一組有意義的密碼當然也不是不可以的,但是要儘量用長一點,或是在後面加上幾個毫無意義的字,如:
iloveloliiamaloliconxd
其中,iloveloli,你喜歡蘿莉,大家可能猜得出來,但沒有人想得到你會再加一句iamalolicon = 我是蘿莉控,更沒有人會想到你在最後面又加了個xd。有的時候多用點心,就可以大大降低密碼被破解的機率。

最後,要提醒大家:被MD5資料庫蒐集過的密碼最好不要使用。要怎麼知道你設的密碼有沒有被MD5收錄呢?很簡單,你只要在md5 Hash Generator這個網站輸入你的密碼,把它加密成MD5格式,再到MD5資料庫貼上加密過後的密碼,查詢看看能不能被破解即可得知。千萬不要在MD5資料庫貼上自己未加密前的密碼喔,那可是會被轉成MD5的格式後紀錄下來的。

Creative Commons License
本 著作 係採用
創用 CC 姓名標示-非商業性-禁止改作 2.5 台灣 授權條款授權.

bshadow 發表在 痞客邦 PIXNET 留言(0) 人氣()