随风随行のland 拉登的家|v70.us

Post by tywtyw2002 on 2010, June 15, 10:30 AM

首先聲明一下，本文章沒有任何的攻擊意思，所有的觀點只是筆者我根據我所了解到的及經歷過一些事情整理出來的，很多觀點並沒有求證過，只是猜測，所以請勿較真。ps認真你就輸了。
ps：最及天天玩wow tw 所以安了個繁體輸入法，不小心把google的給刪了，所以就用繁體寫了。請大家見諒。

1.當密碼不再安全時。
最及維權人士的twitter賬戶經常被盜，還有維權人士的郵箱被設轉發等等。
不能說黑客的技術提高了，只能說是密碼變得越來越脆弱了。
6位數字md5 大概10分鐘內就能出來吧？這個沒研究過。
還有cmd5這個畜生網站居然把10位以內的數字+字幕都算出來了。
也就是說10位以下密碼不再安全了。

2.密碼等於擺設。
我不敢確定真相是否如此，但是很多地方的確是這麼幹的。
論壇在數據庫中除了md5密文外，還會存儲明文密碼。
這個是我在07年時候寫過文章 discuz論壇的釣魚。
寫這篇文章純屬是為了騙稿費。雖然這個很違反道德，但是我的確做了。
我的05年的時候弄了一個小論壇就開了這個功能。
其實就算我不記錄明文的話破下md5也能知道密碼的。（某些破不出來）
現在的行情是個大論壇或多或少的都會有明文密碼。
還有我聽說校內那些郵箱密碼都會被反在數據庫中的，為啥，天朝要求的，一個不成文的規定。互聯網安全。
就算沒有記錄郵箱密碼，利用校內的密碼也能夠知道了。
ps 據調查80%的用戶所有的密碼都是一個。

所有奉勸大家，別設置複雜的密碼了。多設置幾個密碼吧。
天朝你懂得。

3.解決方案。
目前沒有很好的解決辦法。人家記錄明文密碼你怎麼辦？只能吃虧了。
我曾經把我的blog的密碼驗證函數給改了。
a=randon(a-z)
a+md5(a+md5(password))
也就是2層md5加密。這個解決了破解問題。但是依然解決不了。明文密碼被截獲的可能。
明文密碼被截獲幾乎無可避免。只要人家在程序上做點文章你的密碼就會被人知道。
解決向我上面說的那樣一個網站一個吧。不重要的網站用一個。重要的1個網站1個密碼好了。

內幕說的很多了。其他的我也不方便多說。
要用戶的明文密碼幹嘛？
為了萬一，和天朝你懂得。還有商業利益。郵箱——密碼的價格在黑市上價格可不便宜。
光email地址就。。。。。。
哈哈你懂得。
其他我不會再說了。