discuz的md5增強編碼

discuz這套論壇系統在中文區很受使用者喜愛,當然,越受歡迎的系統,越容易受到惡意的攻擊。

今天花了一點時間K了一下discuz的資料庫結構,順便看一下有沒有機會明白discuz的密碼保護方式,結果,它的安全性真的是夠讓我們放心的。

很多時候,密碼都是採用md5編碼,md5編碼,是一種單向的編碼方式,無法從已編碼後的資料,反算回原來的密碼,所以有其實全性。

當硬碟起來越便宜,個人電腦的效能越來越好,md5的單向編碼,保護力就和莫爾定律一樣的下降。

有一個網站,共用了4T的容量,儲存4574億組的md5編碼,可以破解知名網站85%的md5編碼,暴力演算法(窮舉法),就可以輕易的破解md5的編碼,高超的駭客,利用一部份的肉雞(僵屍電腦),分別運算,很容易就可以達到叢集運算的效果。

md5編碼,真的不夠用了,discuz用了md5加上隨機字串salt,增加安全性。

怎麼做的,原密碼使用md5編碼(和原來的相同),再拿md5加密過後的密碼加上salt,整個新的字串再md5一次。

要拿到原來的md5值,並且拿的到salt字串,才可以得到最後的運算值,這個密碼,當然安全了許多,但是真的安全嗎?md5安就是一堆看不懂的東西,再加上明碼,再進行md5編碼,這個就不是一般的窮舉法做的到的!

所以,安全性真的高了許多。老實說,比wordpress來的安全多了,因為wordpress,還是可以用md5編碼的密碼,如果知道明碼,還是可以登入,當然,系統檢查之後知道是md5編碼後,還會再進行另一種編碼,不過即然拿到鑰匙了,進了家門了,誰還管你門鎖要不要換掉,是吧!

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *