[数据]

能够做到高端rootkit（内核级后门/木马）编写、漏洞挖掘、深度逆向，根据漏洞细节进行代码实现的编程代码类高级黑客不超过30人；能够做到手握各种0day（指系统漏洞信息），各种国际出口流量，足以影响互联网或者独立渗透各类网站的渗透入侵类高级黑客不超过30人。

[密码]解密和加密的攻防

现在，人们可以合理猜测，当哪位黑客打开CSDN的数据库时，也会同样发出不敢相信的惊叹：“竟然是明文的？！”

后来人们知道，这么干的还有天涯，数以千万计的账户因此沦陷。明文密码，成为了这些网站失陷的第一罪责，然而，采用加密算法就万无一失了吗？事实是，“道高一尺，魔高一丈”，在密码与解密的攻守中，黑客们不会放弃，网络也没有绝对安全。

密码是怎样炼成的

明文密码有点类似我们记忆密码的方式：当密码是123时，在大脑中它也被记忆为123。黑客是无法攻进大脑的，所以我们这么干没问题。但如果面临危险的网站也这样干，就好像我们把密码写在纸上，然后把纸条放在钱包里。

对于网站来说，合理的做法就是对密码进行加密。

“简单说来，就是用函数对用户密码进行加密，得到一个反密文。”专职从事网络安全的KiSSinGGer举了一个简单的例子，如果用户的密码是3和5，加密函数采用了加法，那么反密文得出来就是8，最终保存在网站数据库中的就是8，而不是3和5。

不过，加密函数不可能采用加法这么简单，因为太过简单的算法极易被逆推。如果黑客看到了反密文是8，同时知道加密函数为加法，那么他很容易穷举出正确答案。现有的计算机运算能力已十分强大，一般程度下容易被逆推的函数都是不安全的。

因此，加密函数必然要选择不容易被逆推出的函数，实际运用中，人们选择了哈希算法来进行加密，而MD5(消息摘要算法第五版)则是目前最为通行的加密算法，同样的还有SHA（安全散列算法）。

“需要说明的是，并不是说一旦加密就不可能逆推出来。”KiSSinGGer说，就像只要有足够的时间，猴子最终会用打字机敲出莎士比亚的戏剧，理论上，只要有足够的时间，密码都是可以被破解的，加密的作用就是让这个时间变得不可接受。

同理，破解密码则必须是在有效的时间里才有意义。2005年，我国女密码学家王小云教授先后破解了MD5和SHA-1两大密码算法，使得密码破解时间在现有硬件条件下大大加快。

不过，这两大算法在一般情况下安全性仍可接受，此外，还有很多办法对破解者设置障碍。

“比如我们常见的输入验证码。”KiSSinGGer说，因为目前电脑并没有很好的图形识别能力，验证码就可以防止程序进行暴力破解，使得解密的时间成本变得不可接受。

更为安全的设置，是多种加密手段并行，典型的就是银行金融系统。一般而言，银行都会采用U盾等硬件加密措施，同时还有手机验证消息等手段。

“很简单的一个道理，黑客通过一种方式盗取你信息的几率是千分之一，现在再开一个验证通道，这个几率就变成了千分之一相乘，难度一下子就提升了。”KiSSinGGer说。

将解密进行到底

对于黑客来说，入侵网站服务器是第一步。

从原理上来讲，我们平常见到的网页是动态的，每当用户有需求时，网页都会从数据库中取出数据，数据库则存在于服务器中。这就要求服务器对过滤用户指令，而不是接受任何指令，一旦过滤器没有严格过滤，服务器就可以返回黑客想要的数据。

国内众多网站，直接通过网页就可以进入后台页面，用唐斌的话来讲：“知道了你的后台就知道了你的保险柜在哪里，迟早都会被撬开。黑客们一般都会针对数据库服务器的漏洞进行攻击，一旦攻破，取得整个库也不是难事。

然而明文密码毕竟不是主流，取出的密码很可能是加密的。对此，黑客们也并不是没有办法。首先，如果密码不复杂，就可以像加法一样进行逆推。比如黑客发现上面提到的“7a57a5a743894a0e”，就会毫不犹豫地输入“admin”。

在网络中，还存在着专门的解密网站，提供解密服务，对于一些简单的密码破解，成功率可达90%以上。

而这背后的原理，则被称为“碰撞”，即预先针对各种可能的字母组合，生成一个哈希值（一段数据唯一且极其紧凑的数值表示形式）的数据库，再用获取的密码和数据库产生“碰撞”，最终破解原始密码。

“牛人都是拿几百个G的彩虹表来跑的。”唐斌提到的彩虹表，就是一种庞大的，包含多种算法的预先计算好的数据集合。这种工具名字虽然美丽，却是一种相对“笨拙”的破解方法，理论上越是复杂的密码，需要的彩虹表也就越大，数据量一般都在上百G。

事实上，“笨”办法却也是非常管用的办法，而随着计算机硬件设备的提升，现有的加密方法对黑客来说，终将不成为难题。届时，新的加密方法和解密方法，又将展开新一轮搏杀。

密码如何设置才安全

密码的安全强度取决于密码的长度和复杂度。不过，两者兼备的密码，无疑会加大我们的记忆难度。这里推荐一个来自“果壳网”的设置策略：用统一规则记住多个不同密码。基本原理是设置一个“基本密码+规则叠加元素”的密码组合。基本密码可以用一首歌或者诗的首字母来设置，而规则叠加元素则可以根据服务类别的不同，设置为如网站名称、日期等。

[安全]成本和安全的纠结

截至2011年12月，我国网民规模约为5.05亿人，这是世界上最大的网民群体，占据着我国人口37%的比重。毋庸置疑的是，互联网世界的安全，对于现实社会的重要性越来越重要。然而，泄密门给我国的互联网安全打上一个大大的问号。

失控边缘的网络

元月6日这天，消费者权益保护网站“12315”被黑掉了。名为“疯狂小强”的网络安全小组，在被黑的网页上模仿唐伯虎的《桃花庵歌》留下了一首程序员之歌，结结实实玩了把黑色幽默。

(责任编辑：)