关于拖库和撞库的思考与对策

拖库是指黑客盗取了网站的数据库。撞库是指黑客用拖库得到的用户名和密码在其它网站批量尝试登录，进而盗取更有价值的东西。因为一些用户在多个网站用相同的用户名和密码，因此撞库是有必定成功率的。如今稍微有点责任感的网站都不会将密码明文保存在数据库中，起码会作一次MD5。要想撞库，必须得知道密码的明文，也就是用户真正输入的密码。咱们知道MD5算法是不可逆的，黑客是怎么弄到密码明文的呢？最经常使用的办法就是MD5字典。

MD5字典是什么？
其实就是提早将一些比较简单的密码（好比10位之内的纯数字）作MD5运算，将结果保存下来，破译密码的时候直接查就好了。好比字符串“123”的MD5值是“202cb962ac59075b964b07152d234b70”，黑客在拖来的数据库中看到某位用户的密码是“202cb962ac59075b964b07152d234b70”，经过字典一查就知道密码明文是“123”了。固然黑客用字典破译密码不会人工一个一个的查，而是用程序批量查询的。

全部密码都能用MD5字典破译吗？
理论上能够，但实际上只能破解比较简单的密码。下面咱们看看不一样复杂度密码对应的MD5字典有多大。

1.10位之内纯数字
共10^1+10^2+10^3+10^4+10^5+10^6+10^7+10^8+10^9+10^10=10(1-10^10)/(1-10)=11,111,111,110条≈110亿条
保存每条记录至少须要42字节（密码10字节+MD5值32字节），则存储该MD5字典至少须要约467GB空间。

2.10位之内的数字+小写字母
共36(1-36^10)/(1-36)=3,760,620,109,779,060条≈3760万亿条
保存每条记录至少须要42字节（密码10字节+MD5值32字节），则存储该MD5字典至少须要约157946TB空间。

经过以上两个例子能够看到，若是用户的密码是10位以上的数字和字母组合，经过MD5字典破解的几率几乎为零。但并非全部用户的密码都足够强，黑客拖库后，使用弱密码的帐户很容易就被查到明文了。对于使用弱密码的帐户，被拖库的网站就无能为力了吗？不是的。办法也很简单，只要在MD5的时候加一个稍微复杂点的盐（好比GUID/UUID），就能极大的提升用户密码的安全性。
加盐后的明文=明文+盐;
密文=MD5(加盐后的明文);
以GUID/UUID做为盐为例，哪怕明文再简单，加一个32位的盐，加盐后的明文也在32位以上了，经过MD5字典来破解是不现实的。

若是全部网站都没有加盐，黑客只需建一套MD5字典，全部网站都能通用。若是全部的网站都加了盐，退一万步讲，哪怕盐也被黑客盗了，也不能用通用的MD5字典，得为每个拖库的网站建一个字典。这样成本会高不少，若是动力不够，黑客就放弃了。

防止拖库和撞库的对策有不少，我这里只是分析了其中的一点，并提出了相应的对策。办法很简单，相信不少网站也加了盐，或作了更复杂的操做，但没有加盐的网站也不少，要否则就不会常常发生撞库的事了。

尽全力保护用户的信息安全是每一个网站应尽的义务，这样才对得起用户对你的信任。一个小小的改变可让用户的密码更加安全，但愿能引发全部网站的重视。