有人告诉我,他见过这样的软件系统:
- 从其他系统检索 MD5 加密密码;
- 解密加密的密码和
- 使用系统自己的算法将密码存储在系统的数据库中。
那可能吗?我认为解密 MD5 哈希是不可能/可行的。
我知道有 MD5 字典,但有实际的解密算法吗?
问问题
520001 次
24 回答
451
不。MD5 不是加密(尽管它可能被用作某些加密算法的一部分),它是一种单向哈希函数。作为转换的一部分,许多原始数据实际上“丢失”了。
想一想:MD5 总是 128 位长。这意味着有2128个可能的 MD5 哈希值。这是一个相当大的数字,但它绝对是有限的。然而,一个给定的散列函数有无限多的可能输入(其中大多数包含超过 128 位,或区区 16 个字节)。因此,实际上有无数种可能的数据会散列到相同的值。让哈希变得有趣的是,要找到两个哈希值相同的数据非常困难,而且偶然发生的可能性几乎为 0。
一个(非常不安全的)散列函数的简单示例(这说明了它是单向的一般概念)是获取一段数据的所有位,并将其视为一个大数。接下来,使用一些大(可能是素数)数字n执行整数除法并取余数(参见:模数)。您将留下一些介于 0 和n之间的数字。如果您要再次执行相同的计算(任何时间、任何计算机、任何地方),使用完全相同的字符串,它将得出相同的值。然而,没有办法找出原始值是多少,因为有无数个数字在除以n时具有精确的余数。
也就是说,已经发现 MD5 有一些弱点,例如,通过一些复杂的数学运算,可以在不尝试2128个可能的输入字符串的情况下找到冲突。而且大多数密码都很短,而且人们经常使用通用值(如“密码”或“秘密”)这一事实意味着,在某些情况下,您可以通过谷歌搜索哈希或使用彩虹来合理地猜测某人的密码表。这就是为什么您应该始终“加盐”散列密码的原因之一,以便两个相同的值在散列时不会散列到相同的值。
一旦一条数据通过哈希函数运行,就没有回头路了。
于 2009-08-06T19:27:24.757 回答
157
你不能——理论上。哈希的全部意义在于它只是一种方式。这意味着如果有人设法获得哈希列表,他们仍然无法获得您的密码。此外,这意味着即使有人在多个站点上使用相同的密码(是的,我们都知道我们不应该,但是......)任何有权访问站点 A 数据库的人都将无法在站点 B。
MD5 是哈希的事实也意味着它会丢失信息。对于任何给定的 MD5 哈希,如果您允许任意长度的密码,则可能有多个密码产生相同的哈希。对于一个好的散列,在一个非常微不足道的最大长度之外找到它们在计算上是不可行的,但这意味着如果你找到一个具有目标散列的密码,它肯定是原始密码。从天文数字上看,您不太可能看到两个具有相同 MD5 哈希的纯 ASCII、合理长度的密码,但这并非不可能。
MD5 是用于密码的错误哈希:
- 它很快,这意味着如果你有一个“目标”散列,尝试大量密码并查看是否能找到一个散列到该目标的密码是很便宜的。加盐对这种情况没有帮助,但它有助于使尝试找到与使用不同盐的多个哈希中的任何一个匹配的密码变得更加昂贵。
- 我相信它有已知的缺陷,可以更容易地找到冲突,尽管在可打印文本(而不是任意二进制数据)中找到冲突至少会更难。
我不是安全专家,所以除了“不要推出自己的身份验证系统”之外,我不会提出具体的建议。从信誉良好的供应商那里找到一个,然后使用它。安全系统的设计和实施都是一项棘手的工作。
于 2009-09-24T13:20:56.440 回答
54
从技术上讲,这是“可能的”,但在非常严格的条件下(彩虹表,基于用户密码在该哈希数据库中的可能性很小的暴力破解)。
但这并不意味着它
- 可行
或 - 安全的
您不想“反转” MD5哈希。使用下面概述的方法,您将永远不需要。“反转” MD5 实际上被认为是恶意的——一些网站提供“破解”和暴力破解 MD5 哈希的能力——但它们都是包含字典单词、先前提交的密码和其他单词的大型数据库。您需要反转的 MD5 哈希值的可能性很小。而且,如果您已经对 MD5 哈希进行了盐渍处理 - 这也不起作用!:)
使用 MD5 哈希登录的方式应该是:
注册期间:
用户创建密码 -> 密码使用 MD5 哈希 -> 哈希存储在数据库中
登录期间:
用户输入用户名和密码 ->(检查用户名)使用 MD5 对密码进行哈希处理 -> 将哈希值与数据库中存储的哈希值进行比较
当需要“丢失密码”时:
2 个选项:
- 用户发送了一个随机密码来登录,然后在第一次登录时被窃听更改密码。
或者
- 向用户发送一个链接以更改其密码(如果您有安全问题/等额外检查),然后新密码被散列并替换为数据库中的旧密码
于 2009-09-24T13:23:25.873 回答
13
不可能,至少在合理的时间内不可能。
通常处理这种情况的方式是密码“重置”。也就是说,您给他们一个新的(随机)密码并通过电子邮件发送给他们。
于 2009-09-24T13:20:57.963 回答
12
您无法恢复 md5 密码。(任何语言)
但是你可以:
给用户一个新的。
检查一些彩虹表,也许可以找回旧的。
于 2009-09-24T13:24:11.877 回答
10
不,他一定是对 MD5 字典感到困惑。
加密哈希(MD5 等)是一种方法,除非您有一些关于原始消息等的其他信息,否则您无法仅使用摘要返回原始消息。
于 2009-08-06T19:28:36.300 回答
8
解密(以算法的方式直接从哈希值中获取纯文本),不。
然而,有一些方法使用所谓的彩虹表。如果您的密码在没有盐的情况下进行哈希处理,这是非常可行的。
于 2009-08-06T19:29:33.770 回答
7
MD5 是一种散列算法,不能还原散列值。
您应该添加“更改密码功能”,用户提供另一个密码,计算哈希并将其存储为新密码。
于 2009-09-24T13:21:24.937 回答
7
没有简单的方法可以做到这一点。这是首先对密码进行哈希处理的一种方式。:)
您应该能够做的一件事是手动为他们设置一个临时密码并将其发送给他们。
我不愿提及这一点,因为这是一个坏主意(无论如何也不能保证有效),但您可以尝试在milw0rm之类的彩虹表中查找哈希,看看是否可以通过这种方式恢复旧密码。
于 2009-09-24T13:23:03.310 回答
4
MD5 被认为是损坏的,不是因为您可以从散列中取回原始内容,而是因为通过工作,您可以制作两条散列到相同散列的消息。
您不能取消散列 MD5 散列。
于 2009-08-06T19:28:56.983 回答
4
就找到它的反函数而言,没有办法“恢复”散列函数。如前所述,这是拥有哈希函数的全部意义所在。它不应该是可逆的,它应该允许快速哈希值计算。因此,找到产生给定哈希值的输入字符串的唯一方法是尝试所有可能的组合。出于这个原因,这被称为蛮力攻击。
尝试所有可能的组合需要花费大量时间,这也是使用哈希值以相对安全的方式存储密码的原因。如果攻击者能够使用其中的所有用户密码访问您的数据库,那么您无论如何都会松懈。如果您有散列值和(理想情况下)强密码,那么攻击者就很难从散列值中获取密码。
存储散列值也没有性能问题,因为计算散列值相对较快。因此,大多数系统所做的是计算用户键入的密码的哈希值(速度很快),然后将其与用户数据库中存储的哈希值进行比较。
于 2009-09-24T13:49:06.883 回答
3
于 2010-03-22T20:11:24.630 回答
3
不,不可能反转诸如 MD5 之类的散列函数:给定输出散列值,除非知道有关输入消息的足够信息,否则不可能找到输入消息。
解密不是为散列函数定义的函数;加密和解密是密码的功能,例如CBC 模式下的 AES;散列函数不加密也不解密。散列函数用于消化输入消息。顾名思义,设计上不可能有反向算法。
MD5 被设计为一种加密安全的单向哈希函数。现在很容易为 MD5 生成冲突 - 即使输入消息的大部分是预先确定的。因此 MD5 被正式破解,MD5 不应再被视为加密安全哈希。然而,仍然不可能找到导致哈希值的输入消息:当仅知道 H(X) 时找到 X(并且 X 没有具有至少一个 128 字节的预计算数据块的预计算结构) . 没有已知的针对 MD5的前映像攻击。
通常也可以使用蛮力或(增强的)字典攻击来猜测密码,比较数据库或尝试在所谓的彩虹表中找到密码哈希。如果找到匹配项,则在计算上可以确定输入已找到。散列函数也可以防止碰撞攻击:找到X'给H(X') = H(X)定H(X)的 . 因此,如果X找到 an ,则在计算上可以确定它确实是输入消息。否则你毕竟会执行碰撞攻击。彩虹表可用于加速攻击,并且有专门的互联网资源可以帮助您找到给定特定哈希的密码。
当然可以重新使用哈希值H(X)来验证在其他系统上生成的密码。接收系统唯一需要做的就是存储作为输入的确定性函数的F结果H(X)。何时X将其提供给系统H(X),因此F可以重新计算并比较结果。换句话说,不需要解密哈希值来验证密码是否正确,您仍然可以将哈希存储为不同的值。
使用密码散列或 PBKDF(基于密码的密钥派生函数)代替MD5 很重要。这样的函数指定如何将盐与哈希一起使用。这样就不会为相同的密码(来自其他用户或其他数据库)生成相同的哈希值。出于这个原因,密码哈希也不允许使用彩虹表,只要盐足够大并且适当地随机化。
密码哈希还包含一个工作因素(有时使用迭代计数配置),它可以显着减慢尝试在给定盐和哈希值的情况下查找密码的攻击。这很重要,因为带有盐和哈希值的数据库可能会被盗。最后,密码散列也可能是内存硬的,因此需要大量内存来计算散列。这使得攻击者无法使用特殊硬件(GPU、ASIC、FPGA 等)来加快搜索速度。其他输入或配置选项(例如辣椒或并行化量)也可用于密码哈希。
H(X)但是,即使H(X)是密码哈希,它仍然允许任何人验证给定的密码。密码散列仍然是确定性的,所以如果有人知道所有输入和散列算法本身,那么X可以用来计算H(X)- 再一次 - 可以比较结果。
常用的密码哈希是bcrypt、scrypt和PBKDF2。还有各种形式的Argon2 ,它是近期密码哈希竞赛的获胜者。在 CrackStation上有一篇关于正确设置密码安全的博客文章。
有可能使攻击者无法执行哈希计算来验证密码是否正确。为此,胡椒可以用作密码哈希的输入。或者,哈希值当然可以使用诸如 AES 的密码和诸如 CBC 或 GCM 的操作模式进行加密。然而,这需要独立存储密钥/密钥,并且访问要求高于密码哈希。
于 2018-09-18T21:28:21.273 回答
2
唯一可以工作的是(如果我们提到密码只是散列,没有添加任何盐来防止重放攻击,如果是这样你必须知道盐)顺便说一句,获取字典攻击工具,许多单词,数字等的文件然后创建两行,一行是单词,数字(在字典中)另一行是单词的哈希,如果匹配,则比较哈希...
这是唯一的方法,无需进行密码分析。
于 2010-02-06T17:02:33.693 回答
2
是的,您所要求的正是可能的。没有帮助是不可能“解密”一个 MD5 密码的,但是可以将一个 MD5 密码重新加密为另一种算法,但不是一次性完成的。
您所做的是安排您的用户能够使用旧的 MD5 密码登录到您的新系统。在他们登录时,他们已经为您的登录程序提供了一个未经哈希的密码版本,您证明该密码与您拥有的 MD5 哈希值相匹配。然后,您可以将此未散列的密码转换为新的散列算法。
显然,这是一个扩展过程,因为您必须等待用户告诉您密码是什么,但它确实有效。
(注意:七年后,哦,希望有人会发现它有用)
于 2016-09-14T01:12:39.623 回答
1
不,不能这样做。您可以使用字典,也可以尝试散列不同的值,直到获得所需的散列。但它不能被“解密”。
于 2009-08-06T19:28:34.537 回答
1
MD5 有其弱点(参见Wikipedia),因此有一些项目尝试预先计算哈希。维基百科也暗示了其中一些项目。我知道(和尊重)的一个是 ophrack。你不能告诉用户他们自己的密码,但你可以告诉他们一个有效的密码。但我认为:只需邮寄一个新密码,以防他们忘记。
于 2009-09-24T13:47:53.967 回答
1
从理论上讲,不可能解密哈希值,但是您有一些肮脏的技术可以取回原始纯文本。
于 2013-11-23T13:41:34.550 回答
0
MD5 是一种加密(单向)散列函数,因此没有直接的方法对其进行解码。加密哈希函数的全部目的是您无法撤消它。
您可以做的一件事是蛮力策略,您可以在其中猜测散列的内容,然后使用相同的函数对其进行散列并查看它是否匹配。除非散列数据很容易猜到,否则可能需要很长时间。
于 2019-03-04T13:15:15.830 回答
-1
尚不可能将密码的散列放入算法并以纯文本形式取回密码,因为散列是单向的。但是人们所做的是生成散列并将其存储在一个大表中,这样当您输入特定的散列时,它会检查表中与散列匹配的密码并将该密码返回给您。http://www.md5online.org/就是一个例子 。现代密码存储系统通过使用加盐算法来解决这个问题,这样当您在注册过程中将相同的密码输入密码框时,会生成不同的哈希值。
于 2016-11-12T14:48:07.330 回答
-1
不,您无法解密/反转 md5,因为它是一种单向哈希函数,直到您无法在 MD5 中找到广泛的漏洞。另一种方法是有些网站有大量的密码数据库,所以你可以尝试在线解码你的MD5或SHA1哈希字符串。我尝试了一个像http://www.mycodemyway.com/encrypt-and-decrypt/md5这样的网站,它对我来说工作正常,但这完全取决于你的哈希值,如果该哈希值存储在该数据库中,那么你可以获得实际的字符串.
于 2018-07-05T09:12:24.587 回答