观察:当MD5遇到人肉搜索

今天寻找一个写好的MD5加密类想做个文件校验工具,在Google里搜索“MD5”看到的第一个搜索结果让我震惊:

[singlepic=18209]

这是一个提供在线MD5破解的网站!
虽然当年的山东大学副教授王小云冲上国际密码大会的讲坛公布了对对MD5、HAVAL-128、MD4和RIPEMD的破解成果后,MD5已经被认为是不安全的。不过据王小云原始算法,破解MD5至少也要比较好的计算机计算几个小时能够找出一个碰撞而已。注意,碰撞,而不是破解。用碰撞密码可以一样实现登陆,但是知道破解,就意味着拿到密码明文。相比所有人的密码多少都有那么一点点意义在里面,被人知道你使用的密码的含义和规律是多么可怕的一件事情!
这个网站,提供在线MD5破解的查询,简单说,就是已知一些密码的MD5,然后把密码和MD5一起存起来,供人查询。当人们提交的MD5足够多,或者达到覆盖大部分有含义字符串后,就达到了比较好的破解效果。

本站4T硬盘已经上线,共有MD5记录457,354,352,282条,宇宙第一,且还在不断增长中,已包含12位及12位以下数字、8位字母、全部7 位及以下字母加数字等组合,并针对国内用户做了大量优化,例如已经包含所有手机号码、全国部分大中城市固定电话号码、百家姓、常用拼音等大量组合,另加入了大型网站真实会员密码数据100万条。本站数据量大,查询速度快,同时支持16位及32位密码查询。通过对10万会员的真实动网论坛样本数据的测试,本站对于动网论坛密码的命中率达到83%。全国独此一家。另感谢一热心网友给本站奉上数百万条数据库原始密码样本,大大提高了命中率!

我来说说为什么震惊。

隐患及应用情景

网络管理员要求第一要政治过硬,他能看到很多东西,设计为人类不该看到的,但是他要禁得住这份诱惑,坐怀不乱…
但是不是每个网络管理员都是这样的人。首先我们可以相信,大型商业网站的网络管理员,在公司制度的限制下,是政治合格的。
但是在我们的生活中还是大量地用到了MD5,比如国内大部分论坛至少是Discuz和动网,这两家都采用MD5加密。论坛是如此之多,甚至不可能没有人不使用基于MD5的论坛等。一旦你的论坛注册信息出现在一个政治不可靠的网络管理员面前,问题就出现了。如果你的密码比较弱,他是可以通过在线破解查询到明文的。注意,是明文。因为找到碰撞并不是什么大事,他本身已经是网络管理员,不需要明文也能把你密码改掉,看到你在这个站的信息。
比如说,我看到123456的MD5是e10adc3949ba59abbe56e057f20f883e,于是我忍不住拿e10adc3949ba59abbe56e057f20f883e在同济网数据库里用户表里搜了一下,发现有5293个用户的密码是123456…P.S. 同济网总计233959个用户,2.2%的经典懒人。
问题是你还可能留下一个真实邮箱,或者没留下真实邮箱,但是用了“主号”当作用户名注册,这样很容易Google到你的邮箱。
虽然邮箱服务可能使用非MD5加密的形式,这样拿MD5的碰撞去登陆自然失败,问题是他拿到的是明文,这样任何加密都会失败。
一旦邮箱被攻破…基本上你在互联网的身份就已经被盗用了(告诉我你邮箱里没东西,我只能说你是土人了)。
这自然是一个严重的安全隐患吧!

个人密码的Best Practices

一个人至少有两组密码。银行卡6位数字密码那是没办法,网络上使用的密码肯定是另外一组。懒人是如此之多,以至于同一个密码到处用的人太多太多。最好的密码策略是使用分级密码,一个人应当设计至少五组密码。按照密码等级介绍如下:

  • 公用银行卡密码:对的,公用,比如这张卡你和家人一起用,这是最简单的,有意义的6位数字密码。建议用电话号码变换一下(如第二位到第七位,或第三位到第五位重复两遍),这样大家都清楚,密级也不算太低。
  • 私有银行卡密码:私房钱之类的,只有自己知道的密码。因为是6位数字,密级高不了。
  • 公共论坛注册密码:要有一定复杂度的,注册的时候尽量不用真实邮箱,必须要验证的时候用一个非主要邮箱。
  • 工作计算机密码:为什么工作计算机要单独设置密码呢?因为总有的时候,当你不在计算机旁边时,有急事发生,这时候你必须授权另外一个人打开你的计算机获取一些资料,这时候就要口述密码。建议这个密码等级不能太低(Windows域要求字母数字和符号),但是也容易记忆,而且便于口述,且与等级最高的密码生成规律不同。这样授权结束后,你可以继续按照这个密码的生成规律再生成一个新的密码即可。
  • 支付宝密码:这个密码需要一定复杂度,因为直接和钱相关。在极少的情况,这个密码也要授权给别人的。可以按照工作计算机密码等级去设置。
  • 信息中心密码:最高级的密码,这个密码管理你的个人信息中心,如QQ、主Email和个人计算机。这个密码的泄露,基本就完蛋了,别人可以伪装成你,这个问题就大了…

论坛和Email还在使用同样密码的孩子们,快改密码吧。

4 comments

  1. 果然够BT啊。。幸亏我的密码一贯是临时想的包含大小写字母、数字加特殊符号的随机号码,然后硬背下来。。。

  2. 真的么….真的么….真的真的么?
    我都是一个密码…5555555怎么办,密码多了我就记不住。

  3. 你就缺那么点钱么··
    搞个google ads
    我汗
    很难看的

发表评论