【IT168专稿】笔者近日接到一个为企业建网站的单子,当时随机生成了一个6位数字和字母组合的密码,可是设置好后台之后把密码给忘记了,进入PHPMYADMIN查询了一下32位MD5,来到某个MD5破解的站,对于这个网站的数据库的庞大感觉到一种危机感,以下是这个MD5破解站的介绍。
md5破解、动网论坛密码破解等不再需要用穷举法,该站4T硬盘已经上线,共有md5记录4574亿条,是目前已知国内外同类网站最大数据量的3000倍以上,且还在不断增长中,已包含12位及12位以下数字、8位字母、全部7位及以下字母加数字等组合,并针对国内用户做了大量优化,例如已经包含所有手机号码、全国部分大中城市固定电话号码、百家姓、常用拼音等大量组合,另加入了大型网站真实会员密码数据100万条。本站数据量大,查询速度快,同时支持16位及32位密码查询。通过对10万会员的真实动网论坛样本数据的测试,该站对于动网论坛密码的命中率达到83%。
看到了这个介绍你是不是很难惊讶,据我了解,我的朋友有许多的人用的密码是手机号,还有很多用的是自己家的电话号码,大概许多人也是这个情况。
对于MD5的介绍,大家可以参考:http://www.ixpub.net/thread-741551-1-1.html。简单的说,对于网站你注册了一个会员,你输入的是明文的密码,而存储在数据库中,是MD5形式加密的。MD5是一种加密算法。
笔者随便的编了一个六位数字的密码来到一些MD5破解的站进行测试,无一例外的全部被破译出来,笔者又随便的编了几个非常随机的六位纯小写字母的密码,加密了之后进行测试,也无一例外的破译了出来,又随机的编可了几个字母和数字的组合的六位密码,查询结果也是被破译了,不过这个是付费才可以看到了。
图1,加密
图2 解密
无论怎么说,六位的数字和字母组合已经不安全,对于随意编造的手机号码,和电话号码,都被破译出来。也就是说您的手机号码和电话号码作为密码和六个随意数字作为密码的安全性差不多。
以下是该数据库中查询频率最高的密码,当然也是用的人最多的密码:
123456
111111
123456
000000
123456789
12345678
123123
123
888888
cccccc
5201314
123321
88888888
654321
1234567890
666666
1234567
aisuhua
112233
u88
woaini
5211314
1314520
123123
fengyun
654321
11111111
这些密码脆弱到了极点。当然这些密码对于这个庞大的数据库来说,被破译,不费吹灰之力。
以下是在该网站截图,看看觉得有些人用的密码好笑。
说到这里,也许MD5的时代也快走到尽头了。更重要的是把安全意识当作一种习惯。举个例子,现在登录QQ,密码会以HASH值的形式保存在本地,现在已经有这样的软件可以提取到本地保存的HASH值并转化成MD5值,如果你的密码比较脆弱,放在这个站上就会被破译掉。所以在公共场合上完网,登录了QQ之后删除保留在本地的号码,在网吧走后重新启动一下机器。一般网吧都有还原系统的。这便是一种习惯。
譬如你喜欢用123456当作密码,改一改或许就安全了,换成#1#2#3#4#5#6是不是同样的好记。123456在MD5破解网站上很容易查到,我测试了一下,#1#2#3#4#5#6是查不到的。有时候我在注册某个站的会员的时候,为了快点完成注册,总输入一些简单的密码,可是提交之后,会返回注册的页面提示密码强度太弱,还得在输入。有时候的确对此感到很厌烦,可是这个也是多么的重要,这样的站点也是对自己的会员密码安全负责的。再次提醒大家把安全意识变成一种习惯。