有关MD5加密后的密码安全讨论

刚才在月光博客上看到一有关MD5的安全性问题的文章，文章写得不错，但是我个人还有一些想补充的地方，算是对作者这个文章的补充。

对于一些经常上网的网民来说，密码是必不可少的，你上论坛，就得注册用户，自然就会有密码，你如果有用到网银交易，就会有网上交易密码之类的，还有支付宝之类的一些常见的支付密码。虽然我对网银和支付宝的用户密码方式不是太清楚，但是有一点你要清楚，如果有黑客把社会工程学利用得好，就可以通过你别的常用密码来获取到你的个人密码习惯，然后获取到你的常用密码组合；不要以为我是在吓你，网上有很大一部分人群的常用论坛账号或是QQ登陆密码等等差不多就是一个密码，其实这是相当危险的。

文章中有用一个密码用MD5加密，然后通过MD5破解到还原后的密码。可以看出现在的MD5密码加密其实也并不是百分百的安全，至少一部分加密后的密码可以在网上免费查出来，原理也相当简单，就是通过数据库比对的方式查询已知的加密密码的MD5来获取到原密码，文章中作者有一点没有提及到，这个解密的网的站的一些信息，你登陆这个MD5解密网站就会在最上面看到：

本站拥有世界上最大的数据库，查询速度也很快，大部分查询是免费的。

实时查询共有457，354，352，282条，已包含11位及11位以下数字、8位小写字母、7位小写字母加数字、6位大小写字母加数字等组合。

后台分布式查询记录共有176，149，422，453，689条，包含12位数字、9位小写字母加数字、7位任意字符。

这说明了，如果你的密码是非常简单的纯数字，纯字母，或是简单的组合，在小于一定位数以下，就能很容易被人破解出来，如果你的账号不是非常重要当然无所谓，但是如果你的账号很重要，那么就非常重要了，比如：如果你是一个站长，你的网站的后台让某个黑客知晓了，并且也获取到你的用户以及加密后的MD5值密码，那你的网站就有危险了，我在落伍上面写过一篇有关网站安全的问题，其中有涉及到密码的复杂性要求，如果你有兴趣，可以上落伍论坛搜索一下！

话说那个解密的网站，据说那个网站现在的解密数据量达到TB级别，现在大部分黑客在入侵的时候都有用到过这个网站的解密功能，相信不少网站的沦陷都有这个解密站点的帮忙。还有一点就是，这个网站对于一些简单的解密是免费的，对于一些复杂的密码，就需要付费了。

原文的作者有提到说利用用户查询MD5密码的时候搜集这些信息，然后制成数据库再卖钱，这一点我觉得可行性还是有的，但是做起来却不是那么容易，毕竟收集比较耗时，而且量并不一定大，有人曾传言：MD5的解密数据都是收集了很多国内外大型社区的用户数据库整理来的，人家用现在成的，省了收集这个程序。按照之前的说法，数据库达到TB级别了，再用这个数据库做破解程序，似乎有点过份了，这个程序，估计得是这个世界上最大的一个程序了。

MD5加密方式现在应当还死不了，用的人多，在没有更安全的加密方式通用以前，MD5还得用着，谁让用户群大呢！

说了这么多，无非是想提醒大家，个人密码尽量复杂一点，长一点就安全一点，组合多一点就更安全一点，经常更换无规律的密码就更安全了；前提是，别复杂得自己都搞忘了！