密碼安全是一個系統的基本安全要素， 讀者這次投遞的稿件論述只用MD5進行密碼HASH并不安全， 如果將這個HASH數值保存在數據庫中， 有可能會被人破解。 我認為， 比較安全的密碼保存方法是MD5(用戶名+用戶密碼+隨機數)， 這個HASH數值不僅無法反向破解， 而且無法替換， 完美的解決了讀者的這個疑問。 以下是讀者的投遞文章。

　　你的密碼安全嗎?你覺得你的密碼已經很復雜了?密碼再復雜， 都有可能被破解掉。

　　讓我們做個實驗吧， 你手里有數據庫嗎?如果有， 用數據庫的函數計算你的密碼md5值。

　　如果沒有， 可以到這個網站去計算。 為了你的密碼安全， 不要用“真”的密碼去試， 虛擬一個密碼吧。 我拿密碼“goodday ”來試驗。 在上面的網站計算goodday的md5值(32位)。 得出結果0CF21CE35322D2E56D745E319B933470

　　我們拿這個值到這個網站去破解吧。 得到的結果是什么?goodday!說明這個密碼并不安全。

　　為什么這么說?假如你是某論壇的用戶， 因為這個論壇管理不當， 或其它人為原因， 導致數據庫被“偷”。 那你的用戶名和密碼就被hacker拿去了， 他們可以通這類似的網站“破解”你的密碼。 有了你的用戶和密碼， 可以在這個論壇以你的名義發貼， 修改。 可以查你相關的資料， 然后以相同的密碼試你在其它應用上的帳號， 比如說qq， facebook之類的。

　　md5的反算是相當麻煩的， 甚至可以說是不可行的(據說山東某大學的女博士破解了它， 但破解方法有多少人懂?)。 但為什么可以通過md5值“破解”掉密碼呢?其實cmd5這個網站做得相當的簡單， 它只是不是用數據庫兩個字段而已， 一個字段保存原來的字符串， 一個字段保存字符串的md5值。 它通過存儲過程(或其它程序)插入一些字符串(如密碼字典)， md5值由數據庫生成。 頁面查找只是查找相關記錄而已。

　　然后， 這個字符串添加的渠道就是個問題了。 這些網站似乎還沒有意識到這個利益。

　　假如說， 這些網站提供用戶查詢功能， 包括md5的正向運算， 用戶好奇要算算自己密碼的md5值。 算完后， 網站“順便”把它的密碼和md5值保存起來， 日積月累， 那這個數據庫就相當于一個超大的密碼字典， 賣出去肯定值錢。

　　如果有人以這個數據庫作為密碼字典寫破解程序， 破解起來就容易多了。

　　我覺得， 這些都應該引起sysadmin， DBA， 技術總監和網絡警察的注意。

　　傳統密碼離它死去的日子還有多遠?