所謂 hash 在密碼學裡,指的是一種單向編碼的特徵碼。你給它一坨資料,它就會從這一坨資料來產生出一個特徵碼出來給你。因為只要改變一個位元,整個特徵碼就會完全不同。所以用途很廣泛,比如用來確認網路傳送的一串資料,是不是有被篡改過。或者確認網路下載的 linux 光碟 ISO 檔,有沒有在下載過程掉了資料,還是不是原來的資料 .. 等等。
計算這個特徵碼的演算法是不可逆的。意思是說,你只能從原始資料算出特徵碼,不能從特徵碼算出原始資料。常見的有 md5、sha1 等等。所以大部份系統記錄 user 的密碼,都是記特徵碼,而不是記密碼的明碼。當使用者輸入帳密來登入時,只要把密碼算出特徵碼,再跟資料庫裡的資料比對,就可以確認身份,不需要比對密碼明碼。
所以,當駭客駭進某個網站後,取得了使用者資料,只能得到帳號及對應的密碼特徵碼,並沒有密碼,所以無法利用。於是就會想要算出這些特徵碼所對應的原始密碼明碼是什麼。但是剛剛不是說過,演算法是單向不可逆的,駭客要怎麼算?
好簡單,根本不用算,只要蒐集《夠多的》密碼與特徵碼的對照表,再據此比對特徵碼,就知道密碼是什麼了。
而 http://hash-killer.com 就是一個蒐集《夠多的》密碼與特徵碼的對照資料庫。你只要輸入一個特徵碼,它就會《破解》這個特徵碼,還原成明碼。事實上是從它的資料庫去找出相同特徵碼的明碼資料來給你,而不是真的破解,這樣懂了嗎?
至於你們的e-mail會出現在裡面,大概是有好奇的同事把你們的 e-mail 當成特徵碼丟進去試試看吧。因為不是特徵碼,當然《破解》失敗囉!
偷偷告訴你,google 也是一個蒐集《夠多的》密碼與特徵碼的對照資料庫。
如果是不認識的信件最好不要點選信件上的網址,有可能會被導引到釣魚網站、或者中木馬等等其他病毒,看到這類信就可以直接砍掉,尤其時不是自己聯絡人更需要注意!!
iThome鐵人賽
看影片追技術