之前我瞭解了MD5算法加密的原理後,一直把它當作最安全的密碼算法。的確,它不存儲明文,只保留了一串不知所云的密文,每次驗證密碼的時候把用戶輸入的明文再次翻譯成密文與存儲的密文作比較,然後得出相應的結論。這樣真的給人一種堅若磐石的感覺。
可是,這種方式安全的前提是從明文轉換成密文的算法是不可逆的,也就是說密文不能隨隨便便的被轉換成明文。而問題恰恰就出現在這裏。
今天我在看電腦報時讀到一篇文章,上面說了Discuz!論壇程序的一個漏洞,其中提到了得到密碼的密文後可以用http://www.cmd5.com/網站提供的工具還原成明文密碼。當時我的感覺是不可思議——什麼時候MD5算法也出了這種問題了。而山東大學的教授王小云女士破解MD5算法的論文也似乎是建立在多臺高性能計算機集羣運算的基礎上。而一個網站竟然能隨隨便便的破解它,讓人無法相信。
於是我回家後立刻上網一試,果然找到了相應的功能。把我一直使用的十位密碼輸入,得到了32位的MD5密文,然後把密文貼到輸入框中,點擊運算按鈕,不用幾秒鐘我就看到了我的明文密碼。當時我就不寒而慄,一向被我認爲是不可破解的密碼算法竟然在瞬間變成了廢物。
我趕緊看網站上的說明。似乎它有一個很大的數據庫,裏面記錄了每個MD5密文與它相對應的明文。原來它是用了暴力破解的方法,不過有了這麼多的用例,幾乎不可能的逆運算就變成了一件相對容易的查找匹配運算。
這種方式的不足就是數據庫的存儲總是有限的。例如我接着輸入了我在TrueCrypt商用的“究極”36位密碼,得到的結果便爲Not Found了。
因此,我們在註冊社區、申請自願時填寫密碼的一刻,是不是要考慮一下密碼的安全性呢?雖然不會有人這麼無聊會來盜取我們這種小人物的密碼,但時代是發展的,沒準哪一天你的密碼被盜會對世界造成……的影響呢^-^。
