1

我为鱼肉

2012要到来了吗?近日CSDN、多玩、猫扑、天涯等各个大型的站点都爆出站点用户数据库密码泄漏的事件,最可怕的是泄漏的都是明文的密码,这些站点的安全性和可靠性真的令人感到震精。

下载已泄露的数据库,搜索发现鄙人也不幸中招。由于种种原因,就不谈为何要明文储存用户密码,而来谈谈我们常用的密码加密算法MD5.源于除了看到CSDN的道歉信,不幸在CSDN官方微博看到以下这样的一条消息:

MD5算法准确来说不能定义为一种加密算法,而是128位HASH(哈希/散列)码。散列算法是用来产生一些数据片段(例如消息或会话项)的散列值的算法。典型的散列算法包括 MD2、MD4、MD5 和 SHA-1。散列算法的算法就是争取一个萝卜一个坑的原则,也就是我们的指纹验证。就是说,在数学上,MD5是不能反推的,但是却能够以其他方式达到相同的效果,比如碰撞。

所谓碰撞,就是已知一个文件或者数据,构造另一个与其MD5值一样的文件或数据。MD5是128位HASH码(4个整数,每个整数4个字节)。我们假设它的计算结果是足够随机和足够分散的。因此,一个文件的MD5码,有2的128次方个可能。进而我们知道,随意找出来的两个文件的MD5码相等的可能性,是2^128分之一。

所以即使MD5碰撞从而得到的“原文”未必是真正的“原文”。而且,一般我们使用MD5对密码进行HASH时会进行多次MD5或者/且进行“加盐”(SALT)。使破解密码更加困难。而这次密码泄露事件,却是明文泄露并且是原文!可想而知。

人为才是安全软肋!

附已知泄露的网站如下:
多玩网_800W.rar
人人网500W_16610.rar
猫1000W_8228.rar
嘟嘟牛_66277.rar
7k7k2000万_2047.rar
178(1000w)_3087.rar
51cto数据库.zip
cnBeta数据库.tgz
CNZZ数据库.rar
eNet数据库.rar
IS数据库.kz
UUU9.rar
YY数据库.zip
百合网数据库.zip
多玩库.rar
金山毒霸.zip
开心网.rar
美空数据库.zip
世纪佳缘数据库.zip
天涯数据库.zip
珍爱网数据库.zip
走秀网.rar

One Comment

发表评论

电子邮件地址不会被公开。 必填项已用*标注