拖库是指黑客盗取了网站的数据库。撞库是指黑客用拖库获得的用户名和密码在其它网站批量尝试登陆，进而盗取更有价值的东西。由于一些用户在多个网站用相同的用户名和密码，所以撞库是有一定成功率的。现在稍微有点责任感的网站都不会将密码明文保存在数据库中，起码会做一次MD5。要想撞库，必须得知道密码的明文，也就是用户真正输入的密码。我们知道MD5算法是不可逆的，黑客是怎么弄到密码明文的呢？最常用的办法就是MD5字典。

MD5字典是什么？
其实就是提前将一些比较简单的密码（比如10位以内的纯数字）做MD5运算，将结果保存下来，破译密码的时候直接查就行了。比如字符串“123”的MD5值是“202cb962ac59075b964b07152d234b70”，黑客在拖来的数据库中看到某位用户的密码是“202cb962ac59075b964b07152d234b70”，通过字典一查就知道密码明文是“123”了。当然黑客用字典破译密码不会人工一个一个的查，而是用程序批量查询的。

所有密码都能用MD5字典破译吗？
理论上可以，但实际上只能破解比较简单的密码。下面我们看看不同复杂度密码对应的MD5字典有多大。

1.10位以内纯数字
共10^1+10^2+10^3+10^4+10^5+10^6+10^7+10^8+10^9+10^10=10(1-10^10)/(1-10)=11,111,111,110条≈110亿条
保存每条记录至少需要42字节（密码10字节+MD5值32字节），则存储该MD5字典至少需要约467GB空间。

2.10位以内的数字+小写字母
共36(1-36^10)/(1-36)=3,760,620,109,779,060条≈3760万亿条
保存每条记录至少需要42字节（密码10字节+MD5值32字节），则存储该MD5字典至少需要约157946TB空间。

通过以上两个例子可以看到，如果用户的密码是10位以上的数字和字母组合，通过MD5字典破解的概率几乎为零。但并不是所有用户的密码都足够强，黑客拖库后，使用弱密码的账户很容易就被查到明文了。对于使用弱密码的账户，被拖库的网站就无能为力了吗？不是的。办法也很简单，只要在MD5的时候加一个稍微复杂点的盐（比如GUID/UUID），就能极大的提高用户密码的安全性。
加盐后的明文=明文+盐;
密文=MD5(加盐后的明文);
以GUID/UUID作为盐为例，哪怕明文再简单，加一个32位的盐，加盐后的明文也在32位以上了，通过MD5字典来破解是不现实的。

如果所有网站都没有加盐，黑客只需建一套MD5字典，所有网站都能通用。如果所有的网站都加了盐，退一万步讲，哪怕盐也被黑客盗了，也不能用通用的MD5字典，得为每一个拖库的网站建一个字典。这样成本会高很多，如果动力不够，黑客就放弃了。

防止拖库和撞库的对策有很多，我这里只是分析了其中的一点，并提出了相应的对策。办法很简单，相信很多网站也加了盐，或做了更复杂的操作，但没有加盐的网站也很多，要不然就不会经常发生撞库的事了。

尽全力保护用户的信息安全是每个网站应尽的义务，这样才对得起用户对你的信任。一个小小的改变可以让用户的密码更加安全，希望能引起所有网站的重视。