MD5即Message-Digest Algorithm 5(信息-摘要算法 5),是网络上广泛使用的散列(Hash)算法之一,可以实现将任意长度的数值映射为固定长度的较小数值。
MD5是一种常用的单向Hash算法。它被广泛用于以下几个用途:
1、检查数据是否一致。将两地存储的数据进行哈希,比较结果,如果结果一致就无需再进行数据比对。这是利用了其“抵抗冲突”(collision- resistant)的能力,两个不同的数据,其哈希值只有很小的几率一致。相当多数据服务,尤其是网盘服务,利用类似的做法来检测重复数据,避免重复上传。
2、存储用户密码。将密码哈希后的结果存储在数据库中,以做密码匹配。这是利用了其做为单向哈希的特点,从计算后的哈希值不能得到密码。
3、校验数据正确性。将数据和数据哈希后的结果一并传输,用于检验传输过程中数据是否有损坏。这是利用了很难找到两个不同的数据,其哈希结果一致的特点。
下面我们将说明为什么对于上面三种用途, MD5都不适用。
第一个用途尤其可怕。这个用途的最大的问题是,MD5在现实中已经被发现有相当多的数据都可能导致冲突。举例而言,如下两段数据的MD5哈希值就是完全一样的。
数据 1
4d c9 68 ff 0e e3 5c 20 95 72 d4 77 7b 72 15 87
d3 6f a7 b2 1b dc 56 b7 4a 3d c0 78 3e 7b 95 18
af bf a2 00 a8 28 4b f3 6e 8e 4b 55 b3 5f 42 75
93 d8 49 67 6d a0 d1 55 5d 83 60 fb 5f 07 fe a2
数据 2
4d c9 68 ff 0e e3 5c 20 95 72 d4 77 7b 72 15 87
d3 6f a7 b2 1b dc 56 b7 4a 3d c0 78 3e 7b 95 18
af bf a2 02 a8 28 4b f3 6e 8e 4b 55 b3 5f 42 75
93 d8 49 67 6d a0 d1 d5 5d 83 60 fb 5f 07 fe a2
输出相同的MD5 哈希
008ee33a9d58b51cfeb425b0959121c9
这意味着,如果用户提供数据 1,服务器已经存储数据 2。通过简单的MD5哈希方式检查重复,服务器上为用户保存的数据就是2。 接下来发生的事情大家都知道了,就是用户数据丢了!
第二个用途很容易遭到rainbow table攻击,和明文存储密码的实质区别不大。更详细的分析可以察看这篇文章。
第三个用途里一般会在需要哈希的数据中混入某些秘密,也就是计算公式为md5(secret key + data)。 但这样并不适合用于验证数据的完整性。这是因为,从理论上上来说,如果知道md5(secret key +X),即使不知道secret key的内容, 仍然可能通过对X的分析,计算得到md5(secret key +Y),从而将X成功的替换成Y,导致接收方仍然认为数据是正确的。
分享到:
相关推荐
标题中提到的“懒惰删除”是指Redis数据库的一种内存管理机制,它涉及到数据删除操作的...此外,放弃对象共享机制虽然为懒惰删除提供了便利,但同时也对Redis的内存优化策略提出了挑战,需要重新设计内存管理的架构。
改进穷举法,减少内层循环的次数,使时间复杂度降为 \( O(N^2) \)。 ```cpp int maxSubSum2(const vector<int>& a) { int maxSum = 0; for (int i = 0; i (); ++i) { int thisSum = 0; for (int j = i; j (); +...
标题中的“为什么您应该停止使用Gerrit”表明了文章的核心议题,即对Gerrit代码审查系统的批评以及探讨寻找更注重隐私且高效的替代方案。Gerrit是一款广泛用于开源项目,尤其是那些遵循GPLv3(GNU General Public ...
J2ME虽然功能有限,但仍可使用如MD5或SHA系列的哈希算法对密码进行单向加密,这样即使数据被盗,也不能直接还原密码。另外,应支持用户修改密码,修改过程同样需要验证旧密码并更新新密码的哈希值。 6. **错误处理*...
标题和描述都在探讨一个主题——为何应该放弃使用Google的Material Design,并寻找以隐私保护为核心的设计方案。Material Design是Google推出的一种视觉设计语言,它为应用程序和网站提供了一套统一的设计规范,包括...
用户在使用模板前,应该先阅读这份文档,以了解如何正确部署和配置模板,避免遇到兼容性或功能问题。 总的来说,商品价位表展示网站模板是电子商务网站提高转化率和用户体验的重要工具。通过合理设计和有效利用,它...
5. 报告文档(如report.md或report.html):总结分析结果和建议。 在Python中,我们可以使用Matplotlib和Seaborn库进行数据可视化,帮助我们更好地理解数据。通过分析购物车放弃的时间间隔、用户浏览历史、设备类型...
- **优化算法**:寻找最有效的算法,减少时间或空间复杂度。 - **递归与分治**:将大问题分解为小问题,通过递归或分治策略求解。 - **动态规划**:存储中间结果以避免重复计算,提高效率。 - **枚举与搜索**:对...
- `README.md` 或 `INSTALLATION.md`:安装和使用指南。 要安装和使用此模块,你需要按照文档指示将文件上传至 Magento 根目录的相应位置,然后在后台启用模块,配置可能的设置,如 API 密钥或地区限制。在实际部署...
在4.0.0版本中,Bootstrap放弃了之前使用的 Glyphicons 图标库,转而采用开源的 Font Awesome 图标集,提供了更多样化的图标选择。同时,字体方面引入了更现代的开源字体Open Sans和Source Sans Pro,提高了可读性。...
自己去实地购买一般适合有空闲时间的人们,代购虽然是大多数用户的最佳选择,但由于代购环节不透明而使大部分人们放弃。网上购买的使用量非常高,相对应的管理工作也增加。到目前为止,人们网上交易一般去淘宝、京东...
这里`-w 5`表示等待时间,如果端口没有响应,则等待5秒后放弃尝试;`-z`表示只扫描不连接,这样可以减少被检测到的可能性。 #### 3.3 后门 NC可以用来建立后门,允许攻击者远程访问受害者机器。 - **受害者机器*...
在数据库查询中,"投影"通常意味着选择需要的列,舍弃其余不必要的信息,以减少数据传输量和提高效率。 JavaScript在Node.js中的应用广泛,包括文件系统操作、HTTP服务器构建、网络通信、模块化开发等。使用...
为什么设备驱动程序可能使用到汇编语言编写? - **使用汇编语言的原因**:汇编语言可以直接访问硬件,对于某些对性能要求极高的设备驱动来说,使用汇编语言可以实现更高效的控制。 #### 45. 为什么要引入缓冲? ...
1. 当系统判断需要生成缩略图时,在tmp/目录下创建一个临时标记文件,该文件名使用md5哈希函数对需要生成的文件名进行命名。处理结束后,将临时标记文件删除。 2. 如果在tmp/目录下已存在临时标记文件,说明文件正在...
5. `README.md`:模块的说明文档,提供安装和使用指南。 6. `LICENSE.txt`:版权和许可信息。 通过这个模块,Drupal Commerce 商家可以利用 Braintree VZero 的强大功能,为客户提供更便捷、安全的支付选项,提升...