首页 | 新闻 | 交流 | 问吧 | 文档 | 手册 | 下载 | 博客

收藏此问题 发表新评论

请教关于密码加密

请问密码为什么要加密?
如果不加密会在哪个环节出问题?
谢谢!
昵称: dandande  时间: 2008-08-19 21:44:49
在这里看一下吧

http://topic.csdn.net/u/20070312/19/ebc9322a-c696-4e80-a85f-2dedcc49fe7f.html
昵称: ruanchao  时间: 2008-08-19 22:49:21
一般密码都会MD5
好处就是不怕密码泄漏 如果数据库被攻破就可以得到管理员的密码但MD5后的密码是无法还原的

其实也没多大用数据库都被控制了还有啥秘密可言 如果MD5码的价值很高还是可以通过暴力碰撞得到原码的
昵称: ten789  时间: 2008-08-20 00:26:38
不加密就怕数据库被或得后密码泄露
昵称: jhdl_n  时间: 2008-08-20 09:42:19
谢谢上面的各位朋友,看了你们的解释和1楼介绍的帖子很受启发,现在还有几个问题:
1。我使用的是php,用md5加密,这个过程是在服务器端进行的,能否在用户端加密以防止在传输过程中被截取?
2。怎样防止数据库被攻破?
3。什么是暴力破解?
谢谢!
昵称: dandande  时间: 2008-08-20 10:56:43
up
昵称: cxxlp  时间: 2008-08-20 10:58:25
十分关注ING...!我也要学习学习!感谢楼主提出这么好的问题!
昵称: songzairan  时间: 2008-08-20 14:19:41
引用 4 楼 dandande 的回复:
谢谢上面的各位朋友,看了你们的解释和1楼介绍的帖子很受启发,现在还有几个问题:
1。我使用的是php,用md5加密,这个过程是在服务器端进行的,能否在用户端加密以防止在传输过程中被截取?
2。怎样防止数据库被攻破?
3。什么是暴力破解?
谢谢!

1 SSL可以做到
2 很复杂另起10贴也未必说的清楚 很主要的1点是一定要管好写权限大多是上传
3 测试a md5后是否和密文相同 不同 测试b 类推测试所有的字符md5码是否和密文相同 实际中会用字典测试 字典就是常用的密码


对于MD5被破解是典型的无知没有道德的记者杜撰出来的标题 新闻早已不是新闻是某些人的工具

原理是 MD5码的长度是有限的 明文的长度是无限的 由此得出会有很多不同的明文但MD5码是相同的

王教授的成果是发现了 明文到MD5的规律 从而可以改变明文得到想要的MD5码 但算法未公开而且不能很直接得出所要改变的明文 只是得到一个范围

实际情况 在大部分时候不如千万级的字典好用 因为常用的密码也就那么多
昵称: ten789  时间: 2008-08-21 04:09:49
既然LZ这么关心安全 就说个密码MD5好处的例子吧

假如某个使用某论坛程序的站点
管理员对非写入改目录做了只读处理 也就是程序目录 模板目录这些不需要写的目录
又对数据库表名和字段名做了非字义处理 也就是表名和字段名是随机字符
以上是网站安全常用手段 并且非字义处理有软件实现

但论坛程序有执行任意脚本漏洞 似乎以前经常有这样漏洞 现在好像没有了
主要原因是在处理违例的时候通过cookie传值 切忌永远不要相信GET POST COOKIE中的数据 拿来都要经过过滤及强制类型转换

某无德人的目的是网页挂马 呵呵 有很多这样的人

使用傻瓜无德软件上传恶意脚本后 发现目录为只读无法更改程序或者模板实现挂马
打开config.php 获得数据库用户名和密码 通常数据库用户名和密码都存在这里
浏览数据库发现是经过处理的无法短时间获得目标表名和字段名 实际情况也就100多个表正常情况猜也能猜的出来 但这些人都是通过数级代理后才入侵的 网速慢的仅有数个字节而且经常超时 不可能仔细查看所有表名和字段名
打开admin/login.php 获得管理员表名和密码字段 通常管理登录都是通过这里 admin这个目录名还是不用为好 换个自己都想不到的字符串多好
浏览数据库获得管理员帐号和密码 假如这里的密码没有经过md5 呵呵 入侵完成 通过后台修改模板 这个通常是关闭的 但可以通过广告模块发布恶意JS代码 这个模块一般是可以上传JS代码的
另一种可能 密码经过md5处理 获得md5后的密码 用字典猜解 如果密码简单 同样入侵成功
如果密码很强大且是MD5处理过的 一般人会放弃在数百个文件中查找广告管理模块 这很难更不用说读懂代码了 一般这些人都很懒并且读代码的能力很差
昵称: ten789  时间: 2008-08-21 04:51:38