一个很重要的问题——密码安全
来源:phpx.com
作者:KnightE
其实PHP支持很多加密和映射方法的,相信大家最常用的就是md5。大家有没有考虑过他的安全性呢?
很多初学朋友都关心一个问题,就是MD5怎么解密,即破解。
其实MD5并不是严格意义上的加密,他只是一个映射,具体算法大家可以通过搜索引擎再网上找到。。。
因为MD5映射后字符串长度一定,所以同一个MD5后的字符串实际上可能是邮无数个原密码而来。。。因此一般而言,即使知道了MD5后的字符串也很难得到真实密码,所以MD5被广泛地才用在一般不是非常需要机密措施地地方,像普通论坛,比如这里。
废话不多说了。。。
今天主要来考验MD5承受破解( )地能力。。。(有人会说,像破解MD5??!!怎么可能)
对付这种映射型加密(姑且这么说),一般只有采取暴力破解。而如果边循环边破解又影响速度,因此一般我们可以预先做好破解字典,我写了段代码:
Code: [Copy to clipboard]
$sRand= 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
$length = strlen($sRand);
if (!($dir = @opendir("/dic"))) {
mkdir ("dic", 0777);
}
for ($q=0; $q<$length; $q++) {
if ($q > 25 && $q < 52) {
$op = 'cap';
} else {
$op = '';
}
$fp = fopen("./dic/".$op.$sRand[$q].".txt", "w");
$crack = $sRand[$q];
fputs($fp, $crack."|".md5($crack)."\n");
for ($m=0; $m<$length; $m++) {
$crack = $sRand[$q].$sRand[$m];
fputs($fp, $crack."|".md5($crack)."\n");
for ($l=0; $l<$length; $l++) {
$crack = $sRand[$q].$sRand[$m].$sRand[$l];
fputs($fp, $crack."|".md5($crack)."\n");
for ($o=0; $o<$length; $o++) {
$crack = $sRand[$q].$sRand[$m].$sRand[$l].$sRand[$o];
fputs($fp, $crack."|".md5($crack)."\n");
}
}
}
fclose($fp);
}
需要注意地是,这只是一个例子,为了简单期间,我们锁定密码字元为26个小写字母,26个大写字母,10个数字(相信应该适合大多数密码了,不知哪位BT朋友加标点符号呢?呵呵……),而我们只测试四位以内地密码,密码位数增多时原理相同,只是破解可能性大大降低,这个一会儿再讲。
这样,就再dic目录下产生了一系列字典文件。
现在,让我们来做一个MD5的随机密码:
Code: [Copy to clipboard]
$afcontent = file("./dic/".$op.$sRand[$s].".txt", "r");
foreach($afcontent as $sdics) {
$adics = explode("|", $sdics);
if (substr($adics[1], 0, 32) == $md5_pwd) {
echo "破解密码为:".$adics[0]."<br>";
$mtime = explode(' ', microtime());
$endtime = $mtime[1] + $mtime[0];
echo "总耗时:".round($endtime - $starttime, 6)."秒<br><br>";
echo "<a href=\"md5.php\">继续测试</a>";
exit();
}
这样,就能随机的产生一个有大小写字母和数字的4位密码及MD5结果,并让他再屏幕输出。
现在开始最关键一步,破解。
检验密码:
Code: [Copy to clipboard]
for ($s=0; $s<$length; $s++) {
if ($s >25 && $s < 52) {
$op = 'cap';
} else {
$op = '';
}
$afcontent = file("./dic/".$op.$sRand[$s].".txt", "r");
foreach($afcontent as $sdics) {
if (md5($sdics) == $md5_pwd) {
echo "破解密码为:".$sdics;
exit();
}
}
}
在程序中,你再加上检测运行时间的代码,就可以知道破解一个62字元四位长度的MD5密码需要多长时间了。。。
没测之前,大家先估计一下呢?
还有,现在默认要产生大概537M~~
且需花费15分钟左右生成字典(在我PIII733 256M 内存上)
Code: [Copy to clipboard]
<html>
<head>
<title> MD5抗暴力破解能力测试 Written By KnightE</title>
<style type="text/css">
div, body { font-size: 12px; }
a:link { color: #000000; text-decoration: none; }
a:visited { color: #000000; text-decoration: none; }
a:hover { color: #ff9933; text-decoration: none; }
a:active { color: #000000; text-decoration: none; }
</style>
</head>
<body>
<table><tr><td align="center">
<?php
error_reporting(63);
@set_time_limit(0);
$mtime = explode(' ', microtime());
$starttime = $mtime[1] + $mtime[0];
$sRand = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
$length = strlen($sRand);
if (isset($_GET['a'])) {
if ($_GET['a'] == 'benmark') {
if (isset($_GET['my_pwd'])) {
$pwd = $_GET['my_pwd'];
} else {
$pwd = '';
for ($n=0; $n<4; $n++) {
$p = rand(0, $length);
$pwd .= $sRand[$p];
}
}
echo "已定义密码为:".$pwd."<br>";
$md5_pwd = md5($pwd);
echo "MD5密码后的字符串为:".$md5_pwd."<br><br>";
for ($s=0; $s<$length; $s++) {
if ($s >25 && $s < 52) {
$op = 'cap';
} else {
$op = '';
}
$afcontent = file("./dic/".$op.$sRand[$s].".txt", "r");
foreach($afcontent as $sdics) {
$adics = explode("|", $sdics);
if (substr($adics[1], 0, 32) == $md5_pwd) {
echo "破解密码为:".$adics[0]."<br>";
$mtime = explode(' ', microtime());
$endtime = $mtime[1] + $mtime[0];
echo "总耗时:".round($endtime - $starttime, 6)."秒<br><br>";
echo "<a href=\"md5.php\">继续测试</a>";
exit();
}
}
}
} else if ($_GET['a'] == 'make_dic') {
if (!($dir = @opendir("/dic"))) {
mkdir ("dic", 0777);
}
for ($q=0; $q<$length; $q++) {
if ($q > 25 && $q < 52) {
$op = 'cap';
} else {
$op = '';
}
$fp = fopen("./dic/".$op.$sRand[$q].".txt", "w");
$crack = $sRand[$q];
fputs($fp, $crack."|".md5($crack)."\n");
for ($m=0; $m<$length; $m++) {
$crack = $sRand[$q].$sRand[$m];
fputs($fp, $crack."|".md5($crack)."\n");
for ($l=0; $l<$length; $l++) {
$crack = $sRand[$q].$sRand[$m].$sRand[$l];
fputs($fp, $crack."|".md5($crack)."\n");
for ($o=0; $o<$length; $o++) {
$crack = $sRand[$q].$sRand[$m].$sRand[$l].$sRand[$o];
fputs($fp, $crack."|".md5($crack)."\n");
}
}
}
fclose($fp);
}
$mtime = explode(' ', microtime());
$endtime = $mtime[1] + $mtime[0];
echo "总耗时:".round($endtime - $starttime, 6)."秒<br><br>";
echo "<a href=\"md5.php\">继续测试</a>";
exit();
}
} else {
echo "<div><a href=\"md5.php?a=make_dic\">生成字典</a></div><br><br>";
echo "<div><a href=\"md5.php?a=benmark\">开始随机密码测试</a></div><br><br>";
echo "<div><form action=\"md5.php?a=benmark\" method=\"get\">检测你的密码:<input type=\"text\" size=\"10\" maxlength=\"4\" name=\"my_pwd\"><input type=\"hidden\" name=\"a\" value=\"benmark\"><input type=\"submit\" value=\"提交\"></form></div>";
}
?>
</td></tr></table>
</body>
</html>
||||||
附件使用方法:将下面Code中的代码复制(最好使用CODE 旁的拷贝到剪贴板命令)到一个文本文件中保存,并将文本文件改名为*.uue,用WinRar打开即可!
附件为上面的:MD5抗暴力破解能力测试
Code:
[Copy to clipboard]
begin 644 md5.rar
M4F%R(1H'`,^0<P``#0````````#I[G0@@"<`Y`0``,P+```":?K/UT(MURX=
M,P<`(````&UD-2YP:'`,'9$1#,O-01^S$C^'LP:FYJ>O=U^4&]\'"$9`(0\(
M0(`WJU6\\'N&YX;N9C;UR3?YH2$$X"4`8(<D401J)1D0@B%'Q?$AX<8<SB*'
M$1B&]>>&U6>&YC3:3>HZZUJ=W=57U5]5U5[7\U5U]7U>%W55:_7]]=VOUWQO
MC?2C6943I^7Y5S0*>U&4F4T*9.?S,CM_7U_D^SXN[W>UXMC;:/F\6S^1.DNW
MK*"I.7JDYRJ6BYO-HSH&0&IAG5:"7"PA2,<):9G',,&`@/2TYA-!8]R?4(BL
MJSAL)=-#+)B8MBU0);;\N6FDK7!(<LFLON'FSW_C=B#89Z#;+E=D<PW*MP0A
M9=-)T5OS[\8UEM-!>0P11RLK&QFO!3FR_XOITT9S\CU,=,4V!D(/_9+H`AN2
MX?7OBW>M%6D8<@JZ:N,JP7F98K6!T-@NZU570L7%U]71-R<:70;7E,(,U=[J
M(57-*),FSQY-UP5!XR4B/*6'IGE391)4PC@#G0Q0&RQ5\%Y8KI<*S`W,[$J$
MPHM<^IN98Z!53VL2GJSG2D=&LE\%=-2Z]8LKN@Z6GJ6M7I^?R_0YF;Z/-]+T
M_4YWJ\_UO7]CV>A[71]OW.E[OO>_/Q,7&Q\C)Y/G94H7K=L>Z9K`%N97#6;`
M-P1LDB0U)@"HVM7FYO1SG;Y51Z@G4W#`%%'R.>""]!SJCWU>5`J8`_>`"*:M
M6QJ'W@.Z8(;A->_34!1VR()N:%8DK4J4^DP$5EP@XK2#NFXT<=J86%$)!;!>
MK@239\PD)A+H1(P"9M(D!JSM[5($%M][0.Q`ZLL0SP?C]/Q^#]NYM_;X_OZW
MPZYDT6J:91T%Z9C[+@J'Y%6"%PTFBFET(VT+H"WM?^=;8VO#]7]_1\L(&%C`
M%1!@_T12PU6*,,<CKC+Y^?3!*>+D$Y'(!"2B3(Q8SRL)ZE'%L0RHCF&0FE2#
M\;,J)P7[A7*")%)W,UZ.<>D=.,F@NS8I3L5'L)K-IDR9=97,EWN@H%NV&R`!
M7D7%@VL1P@H[I%?XSJF3(E:`(?*6-+0"H8V!="OEP8==XV++&ER*6UX6AG`?
M/V1U)`W9]23U$/G&K?(%JZ$?Q%PDA^;6WK[&SUQ?3I&D%-=YLPR1WGG:,F6M?W/')[LD`*)25ET$:6>8!EFAXOMX4^SW_P_H?=2C.+(7;0>)L44V]]5K%W'A
M+DJ%KH50DF*Y<57S'"-BN!EY2UA!4-1I@]Z&2[URZE<51MAY0Z'Y.Z0/FW)J
MGLM6RT[+7=DE,D-5%EKX(CQHC&O#U7++3U&MX)RY3JY([[;+6G3=)EAZ*Y3"
M0*'.=5SS]Y#^X.L9ZLBN@":H^=%&FHTN%=5Z'JD+VOMYA>Z;53::?^\0^+VI
M.*!;\@$,#+-59IK-<<?@-[4M>A2^(>0MRWP+`NAG)K,("#7JKO'K^>-7Y__7
MZWS??COK`D2+'T(`,;%/@!.86E%?8`CO>3Y^]M>'6_5J;N^R28,X@)A_<L`C
MM];9[/W?OV/(/K&*(<0'PH^*$'&865X<6(H@RXX\$FCO`3__AUG8_36V!<,N
MBDJ%!L&53GOY50,@Y2`VXD\6LMJ"H8.#'#>J504<&!V`9OP2LD>>XV-7+N8T
MRIZ0ZXS'?L`_(H,;](6>_^?:[`J9PE["?1.[_H?S'\DED\.<<C>=!DBCQQ9*
-TY_/#_B`Q#U[`$`'``
`
end