Python工具箱系列(十七)

来源:https://www.cnblogs.com/shanxihualu/archive/2022/11/30/16937862.html
-Advertisement-
Play Games

很多軟體工程師都認為MD5是一種加密演算法,然而這種觀點是不對的。作為一個 1992 年第一次被公開的演算法,到今天為止已經被髮現了一些致命的漏洞。本文討論MD5在密碼保存方面的一些問題。 ...


很多軟體工程師都認為MD5是一種加密演算法,然而這種觀點是不對的。作為一個 1992 年第一次被公開的演算法,到今天為止已經被髮現了一些致命的漏洞。本文討論MD5在密碼保存方面的一些問題。

假設下麵一個場景:

 

  • 軟體產品讓用戶輸入用戶名與口令,隨即使用MD5演算法將口令(明文)轉變成為摘要值。

  • 用戶登錄時,用戶輸入的口令,也使用MD5進行計算,然後與存儲的MD5進行比較,如果相同,則用戶成功登錄。

  • 由於沒有存儲口令的原始值,所以即使相關人員(工程師、運維人員、黑客)獲得了口令的MD5值,根據演算法的特性,也無法知道原始的口令內容。

  • 正是演算法的不可逆性,因為口令只能夠重新生成,而系統無法反饋原始的口令是什麼。

以上場景是非常完美的。但是由於人類的弱點,大部分人會選擇非常簡單易記,或者有特殊意義的字元串做為口令。攻擊者只需要將一些常見密碼提前計算一下哈希就可以找到資料庫中很多用於存儲的密碼,Wikipedia 上有一份關於最常見密碼的列表,在2016年的統計中發現使用情況最多的前25個密碼占了調查總數的10%,雖然這不能排除統計本身的不准確因素,但是也足以說明僅僅使用哈希的方式存儲密碼是不夠安全的。提前計算的HASH表稱為彩虹表,存儲著一些常見密碼的哈希,當攻擊者通過入侵拿到某些網站的資料庫之後就可以通過預計算表中存儲的映射來查找原始密碼如下圖所示。

為了抵抗上述的暴力方法,可以使用md5加鹽的策略,進一步強化md5暴力破解的難度。在上世紀70到80年代,早期版本的Unix系統就在/etc/passwrd中存儲加鹽的哈希密碼,密碼加鹽後的哈希與鹽會被一起存儲在/etc/passwd文件中,今天哈希加鹽的策略與幾十年前的也沒有太多的不同,差異可能在於鹽的生成和選擇。一個示範性質的代碼如下所示。

from random import Random
from hashlib import md5

# 獲取由4位隨機大小寫字母、數字組成的salt值
def create_salt(length=4):
    salt = ''
    chars = 'AaBbCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz0123456789&#39'
    len_chars = len(chars) - 1
    random = Random()
    for i in range(length):
        # 每次從chars中隨機取一位
        salt += chars[random.randint(0, len_chars)]
    return salt

# 獲取原始密碼+SALT,計算返回MD5值
def create_md5(pwd, salt):
    md5_obj = md5()
    inputstr = pwd+salt
    md5_obj.update(inputstr.encode(encoding='utf-8'))
    return md5_obj.hexdigest()

pwd = '123456'
salt = create_salt()
finalmd5 = create_md5(pwd,salt)
print(f'pwd:{pwd},salt:{salt},md5:{finalmd5}')

執行後的效果如下所示:

pwd:123456,salt:lhDy,md5:e7a2a020e5738dc9cc7822ca11b6fdf7

在實際使用時,需要保存salt的值與計算結果。加鹽的方式主要還是為了增加攻擊者的計算成本,當攻擊者順利拿到資料庫中的數據時,由於每個密碼都使用了隨機的鹽進行哈希,所以預先計算的彩虹表就沒有辦法立刻破譯出哈希之前的原始數據,攻擊者對每一個哈希都需要單獨進行計算,這樣能夠增加了攻擊者的成本,減少原始密碼被大範圍破譯的可能性。但這個貌似完美的策略還是被髮現存在問題。因為一個哈希函數或者摘要演算法被找到哈希碰撞的概率決定了該演算法的安全性,早在幾十年前,人們就在MD5的設計中發現了缺陷並且在隨後的發展中找到了低成本快速製造哈希碰撞的方法:

  • 1996年《The Status of MD5 After a Recent Attack》——發現了MD5設計中的缺陷,但是並沒有被認為是致命的缺點,密碼學專家開始推薦使用其他的摘要演算法;

  • 2004年《How to Break MD5 and Other Hash Functions》——發現了MD5摘要演算法不能抵抗哈希碰撞,我們不能在數字安全領域使用MD5演算法;

  • 2006年《A Study of the MD5 Attacks: Insights and Improvements》——創建一組具有相同MD5摘要的文件;

  • 2008年《MD5 considered harmful today》——創建偽造的SSL證書;

  • 2010年《MD5 vulnerable to collision attacks》——CMU軟體工程機構認為MD5摘要演算法已經在密碼學上被破譯並且不適合使用;

  • 2012年《Flame》——惡意軟體利用了MD5的漏洞並偽造了微軟的數字簽名

總結一下,之所以基於MD5的密碼保存與對比策略不安全是因為:

  • 實際應用的大量口令本身很簡單;

  • MD5計算起來非常快,攻擊者今天可以通過 GPU 每秒執行上億次的計算來破解用戶的密碼;

  • 演算法自身的缺陷。

 


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 話說在前面,我不是小黑子~ 我是超級大黑子😏 表弟大周末的跑來我家,沒事幹天天騷擾我,搞得我都不能跟小姐姐好好聊天了,於是為了打發表弟,我決定用Python做一個小游戲來消耗一下他的精力,我思來想去,決定把他變成小黑子,於是做了一個坤坤打籃球的游戲,沒想到他還挺愛玩的~ 終於解放了,於是我把游戲寫 ...
  • 使用腳本自動跑實驗(Ubuntu),將實驗結果記錄在文件中,併在實驗結束之後將結果通過郵件發送到郵箱,最後在windows端自動解析成excel表格。 ...
  • 大家好,我是陶朱公Boy。 前言 上一篇文章《關於狀態機的技術選型,最後一個真心好》我跟大家聊了一下關於”狀態機“的話題。從眾多技術選型中我也推薦了一款阿裡開源的狀態機—“cola-statemachine”。 於是就有小伙伴私信我,自己項目也考慮引入這款狀態機,但網上資料實在太少,能不能系統的介紹 ...
  • 一、Kafka存在哪些方面的優勢 1. 多生產者 可以無縫地支持多個生產者,不管客戶端在使用單個主題還是多個主題。 2. 多消費者 支持多個消費者從一個單獨的消息流上讀取數據,而且消費者之間互不影響。 3. 基於磁碟的數據存儲 支持消費者非實時地讀取消息,由於消息被提交到磁碟,根據設置的規則進行保存 ...
  • 10瓶毒藥其中只有一瓶有毒至少需要幾隻老鼠可以找到有毒的那瓶 身似浮雲,心如飛絮,氣若游絲。 用二分查找和二進位位運算的思想都可以把死亡的老鼠降到最低。 其中,二進位位運算就是每一隻老鼠代表一個二進位0或1,0就代表老鼠存活,1代表老鼠死亡;根據數學運算 23 = 8、24 = 16,那麼至少需要四 ...
  • 1.面向對象 面向對象編程是在面向過程編程的基礎上發展來的,它比面向過程編程具有更強的靈活性和擴展性,所以可以先瞭解下什麼是面向過程編程: 面向過程編程的核心是過程,就是分析出實現需求所需要的步驟,通過函數一步一步實現這些步驟,接著依次調用即可,再簡單理解就是程式 從上到下一步步執行,從頭到尾的解決 ...
  • 來源:https://developer.aliyun.com/article/694020 非同步調用幾乎是處理高併發Web應用性能問題的萬金油,那麼什麼是“非同步調用”? “非同步調用”對應的是“同步調用”,同步調用指程式按照定義順序依次執行,每一行程式都必須等待上一行程式執行完成之後才能執行;非同步調 ...
  • Maven可以使我們在構建項目時需要用到很多第三方類jar包,如下一些常用jar包 而maven的出現可以讓我們避免手動導入jar包出現的某些問題,它可以自動下載那須所需要的jar包 我們只需要在創建的maven項目自動生成的pom.xml中輸入如下代碼 <dependencies> <!--ser ...
一周排行
    -Advertisement-
    Play Games
  • Timer是什麼 Timer 是一種用於創建定期粒度行為的機制。 與標準的 .NET System.Threading.Timer 類相似,Orleans 的 Timer 允許在一段時間後執行特定的操作,或者在特定的時間間隔內重覆執行操作。 它在分散式系統中具有重要作用,特別是在處理需要周期性執行的 ...
  • 前言 相信很多做WPF開發的小伙伴都遇到過表格類的需求,雖然現有的Grid控制項也能實現,但是使用起來的體驗感並不好,比如要實現一個Excel中的表格效果,估計你能想到的第一個方法就是套Border控制項,用這種方法你需要控制每個Border的邊框,並且在一堆Bordr中找到Grid.Row,Grid. ...
  • .NET C#程式啟動閃退,目錄導致的問題 這是第2次踩這個坑了,很小的編程細節,容易忽略,所以寫個博客,分享給大家。 1.第一次坑:是windows 系統把程式運行成服務,找不到配置文件,原因是以服務運行它的工作目錄是在C:\Windows\System32 2.本次坑:WPF桌面程式通過註冊表設 ...
  • 在分散式系統中,數據的持久化是至關重要的一環。 Orleans 7 引入了強大的持久化功能,使得在分散式環境下管理數據變得更加輕鬆和可靠。 本文將介紹什麼是 Orleans 7 的持久化,如何設置它以及相應的代碼示例。 什麼是 Orleans 7 的持久化? Orleans 7 的持久化是指將 Or ...
  • 前言 .NET Feature Management 是一個用於管理應用程式功能的庫,它可以幫助開發人員在應用程式中輕鬆地添加、移除和管理功能。使用 Feature Management,開發人員可以根據不同用戶、環境或其他條件來動態地控制應用程式中的功能。這使得開發人員可以更靈活地管理應用程式的功 ...
  • 在 WPF 應用程式中,拖放操作是實現用戶交互的重要組成部分。通過拖放操作,用戶可以輕鬆地將數據從一個位置移動到另一個位置,或者將控制項從一個容器移動到另一個容器。然而,WPF 中預設的拖放操作可能並不是那麼好用。為瞭解決這個問題,我們可以自定義一個 Panel 來實現更簡單的拖拽操作。 自定義 Pa ...
  • 在實際使用中,由於涉及到不同編程語言之間互相調用,導致C++ 中的OpenCV與C#中的OpenCvSharp 圖像數據在不同編程語言之間難以有效傳遞。在本文中我們將結合OpenCvSharp源碼實現原理,探究兩種數據之間的通信方式。 ...
  • 一、前言 這是一篇搭建許可權管理系統的系列文章。 隨著網路的發展,信息安全對應任何企業來說都越發的重要,而本系列文章將和大家一起一步一步搭建一個全新的許可權管理系統。 說明:由於搭建一個全新的項目過於繁瑣,所有作者將挑選核心代碼和核心思路進行分享。 二、技術選擇 三、開始設計 1、自主搭建vue前端和. ...
  • Csharper中的表達式樹 這節課來瞭解一下表示式樹是什麼? 在C#中,表達式樹是一種數據結構,它可以表示一些代碼塊,如Lambda表達式或查詢表達式。表達式樹使你能夠查看和操作數據,就像你可以查看和操作代碼一樣。它們通常用於創建動態查詢和解析表達式。 一、認識表達式樹 為什麼要這樣說?它和委托有 ...
  • 在使用Django等框架來操作MySQL時,實際上底層還是通過Python來操作的,首先需要安裝一個驅動程式,在Python3中,驅動程式有多種選擇,比如有pymysql以及mysqlclient等。使用pip命令安裝mysqlclient失敗應如何解決? 安裝的python版本說明 機器同時安裝了 ...