2016年1月 总版技术专家分月排行榜第二2015年11月 总版技术专家分月排行榜第二2015年10月 总版技术专家分月排行榜第二
优秀小版主
2015年3月 总版技术专家分月排行榜第二2014年12月 总版技术专家分月排行榜第二2014年9月 总版技术专家分月排行榜第二
2015年3月 .NET技术大版内专家分月排行榜第一2015年2月 .NET技术大版内专家分月排行榜第一2015年1月 .NET技术大版内专家分月排行榜第一2014年12月 .NET技术大版内专家分月排行榜第一2014年11月 .NET技术大版内专家分月排行榜第一
2015年3月 总版技术专家分月排行榜第二2014年12月 总版技术专家分月排行榜第二2014年9月 总版技术专家分月排行榜第二
2015年3月 .NET技术大版内专家分月排行榜第一2015年2月 .NET技术大版内专家分月排行榜第一2015年1月 .NET技术大版内专家分月排行榜第一2014年12月 .NET技术大版内专家分月排行榜第一2014年11月 .NET技术大版内专家分月排行榜第一
2015年3月 总版技术专家分月排行榜第二2014年12月 总版技术专家分月排行榜第二2014年9月 总版技术专家分月排行榜第二
2015年3月 .NET技术大版内专家分月排行榜第一2015年2月 .NET技术大版内专家分月排行榜第一2015年1月 .NET技术大版内专家分月排行榜第一2014年12月 .NET技术大版内专家分月排行榜第一2014年11月 .NET技术大版内专家分月排行榜第一
2015年3月 总版技术专家分月排行榜第二2014年12月 总版技术专家分月排行榜第二2014年9月 总版技术专家分月排行榜第二
2015年3月 .NET技术大版内专家分月排行榜第一2015年2月 .NET技术大版内专家分月排行榜第一2015年1月 .NET技术大版内专家分月排行榜第一2014年12月 .NET技术大版内专家分月排行榜第一2014年11月 .NET技术大版内专家分月排行榜第一
匿名用户不能发表回复！|
每天回帖即可获得10分可用分！小技巧：
你还可以输入10000个字符
(Ctrl+Enter)
请遵守CSDN，不得违反国家法律法规。
转载文章请注明出自“CSDN（www.csdn.net）”。如是商业用途请联系原作者。所谓md5解密靠谱吗？可以在人类可承受范围内破解吗？ - 开源中国社区
当前访客身份：游客 [
当前位置：
看到很多SQL注入文章，不少都是拿到某用户的md5密码就大功告成了。
但我看过相关MD5破解文章，其原理似乎是用硬盘空间换取时间，本质上还是暴力破解。（听说前些年有数学家从算法层面上破解了，但方法似乎没有在hacker中普及开来，所以这个暂不考虑）
我想问下，如果密码不那么常见，那么所谓的几百TB的数据暴力破解靠谱吗？
比方说：!o1s3C5h5i2n0a@
以上密码是osChina和135520再加两个特殊字符的组合，临时瞎编的。我想问，所谓的md5破解服务器可以在攻击者可以接受的时间内破解掉吗？（就按一周算吧）
还是说，我们常说的所谓的MD5破解，其实只能破解常见的admin,admin123这类密码？
共有18个答案
<span class="a_vote_num" id="a_vote_num_
密码破解是什么原理
<span class="a_vote_num" id="a_vote_num_
md5不是加密，md5不是加密，md5不是加密！重要的事情要说3遍！如果你执意认为md5是加密，请提供解密算法
<span class="a_vote_num" id="a_vote_num_
用“欢乐颂”简谱作为密码，测试时玩的
<span class="a_vote_num" id="a_vote_num_
再简单的密码加了随机盐之后也很难破解.
$salt = sha1(uniqid(mt_rand(), true));
$pwd_db = sha1($salt.sha1($pwd_user));
其中: uniqid获取一个带前缀(mt_rand),末尾带熵(true),基于当前时间微秒数的唯一编号.mt_rand用于生成更好的随机数.sha1生成的字符串的长度是40位,字段类型可以设为char(40).
如果觉得sha1不够安全,还可以用hash函数提供的sha512算法.PHP 5.5开始还提供了一个原生密码散列API(password_hash/password_verify),它提供一种安全的方式来完成密码散列和验证.
<span class="a_vote_num" id="a_vote_num_
好厉害的样子！
<span class="a_vote_num" id="a_vote_num_
让密码为自己带盐，而且是随机盐
<span class="a_vote_num" id="a_vote_num_
sha512(安全性较高密码 + 512位随机盐) 搞定，防彩虹表，难以穷举破解。md5 太弱，穷举容易被破
<span class="a_vote_num" id="a_vote_num_
1.没必要想的那么复杂。彩虹表，hash算法，反向破解，还有王小云教授研究的用hash碰撞来加速破解MD5。这些偏学术界的东西，一般人都没机会，也没条件去尝试。 &从实际角度出发，安全是一个整体，破解MD5只是安全体系里面很小的一个点。通常人类自己常用的密码都是便于记忆的，不会搞一些很多特殊符号，很变态的密码。搞那么复杂，密码强度变大了，可不方便记忆。这里有个度要衡量。当然，如果是网站里面的数据库配置文件之类，完全可以搞很变态，但实际也不安全，请移步看下面。& & &
2.通常，楼主看的一些SQL注入文章里面提到破解MD5，有2种情况：1.用自己积累的社工库或者类似cmd5那种网站去查询破解。2.搜集被破解MD5密码的相关社工信息，就属于社会工程学范畴。如：人的生日，姓名，手机号，网站域名，网站备案人，联系人QQ，联系人邮箱.....等等。总之就是手机关于被破解MD5密码相关的所有社工信息。 然后，在这些信息上进行，排列组合，或者加上常用的“123”，“888888”之类的弱口令。然后通过枚举进行MD5函数加密，对比被破解的MD5来暴力破解。但，如果被破解的MD5加盐了。这种方法就行不通。但行不同不代表不可攻破，请继续看下面。
3.还是那句老话，安全是一个整体。一个小小的疏漏就会导致系统大面积沦陷。接到上面说的，如果MD5加盐了。一般盐都存在数据库的用户表或者密码表里面的一个字段里面。如果网站存在SQL注入，直接注入出盐，然后通过第2点提到的社工方法加上这个盐来暴力破解。如果到这步还是破解不出来，也不代表就很安全。请接着看下面。
4.再强调一遍，安全是一个整体。存在SQL注入的情况下，如果数据库权限没配置妥当。可以直接通过高权限操作写入webshell到网站里面，如sql server里面的存储过程xp_cmdshell，mysql里面的select ... into outfile，load_file()函数读取任意文件&....等等。获取整个网站的操作权限。这个时候，网站的所有文件和数据库配置文件都在里手上，还有什么得不到的。再继续还有更危险的.......扯的太深了....
5.不说了。楼主现在搞javaEE业务的安全。一定要考虑整体安全问题。从服务器配置到java中间件配置，到数据库权限配置，到网站权限配置都要深入考虑....
<span class="a_vote_num" id="a_vote_num_
中国山东那个密码学家,并不是破解, 而是可以缩小范围,减少破解时间,使暴力破解达到可承受的范围.
--- 共有 1 条评论 ---
然而并不是这样的
(1年前)&nbsp&
<span class="a_vote_num" id="a_vote_num_
推荐陈皓 2010 年的文章《如何防范密码被破解》
/articles/2078.html
现在汽车里面的代码越来越多，写程序的人水平感觉越来越差，太恐怖了。
更多开发者职位上
有什么技术问题吗？
itwrite...的其它问题
类似的话题网络（107）
Md5密文破解(解密)可以说是网络攻击中的一个必不可少的环节，是工具中的一个重要“辅助工具”。md5解密主要用于网络攻击，在对网站等进行过程，有可能获得管理员或者其他用户的账号和密码&#20540;(md5加密后的&#20540;)。获得的密码&#20540;有两种情况，一种是明文，另外一种就是对明文进行了加密。如果密码&#20540;是加密的，这个时候就需要对密码&#20540;进行判断，如果是采取md5加密，则可以通过MD5Crack3等软件进行破解。王小云教授的md5密码碰撞破解算法没有公布，因此目前Md5解密方式主要采取暴力破解，
即软件通过算法生成字典，然后使用md5函数加密该字典中的&#20540;形成密文，接着跟需要破解的密文进行比较，如果相同则认为破解成功。目前网上有很多网站提供md5加密或者加密&#20540;查询，将加密后的md5&#20540;，输入到网站中，如果网站中存在该md5，则该&#20540;对应的md5加密前的&#20540;就为密码。本案例介绍如何使用MD5Crack3以及一些在线的网站来进行破解;MD5Crack3是阿呆写的一款md5密码破解软件，其网站地址：/subject/mdcrk/index.htm，目前已经发布了MD5Crack4.0版本，也可以到我的blog(http://simeon./)去下载。
　　(一)在线生成md5密码&#20540;
　　1.有关md5加解密知识
　　Md5密文破解(解密)可以说是网络攻击中的一个必不可少的环节，是黑客工具中的一个重要“辅助工具”。md5解密主要用于网络攻击，在对网站等进行入侵过程，有可能获得管理员或者其他用户的账号和密码&#20540;(md5加密后的&#20540;)。获得的密码&#20540;有两种情况，一种是明文，另外一种就是对明文进行了加密。如果密码&#20540;是加密的，这个时候就需要对密码&#20540;进行判断，如果是采取md5加密，则可以通过MD5Crack4等软件进行破解。王小云教授的md5密码碰撞破解算法没有公布，因此目前Md5解密方式主要采取暴力破解， 即软件通过算法生成字典，然后使用md5函数加密该字典中的&#20540;形成密文，接着跟需要破解的密文进行比较，如果相同则认为破解成功。目前网上有很多网站提供md5加密或者加密&#20540;查询，将加密后的md5&#20540;，输入到网站中，如果网站数据库中存在该md5，则该&#20540;对应的md5加密前的&#20540;就为密码。
　　2.通过cmd5网站生成md5密码
　　在中输入地址“/”，在输入框中输入想要加密的原始密码，然后单击“md5加密或解密”按钮即可，如图1所示，原始密码为“goodman88”，加密后的密码&#20540;为：
　　MD5(goodman88,32) = d5a8e0bfaa219f5b53ca522
　　MD5(goodman88,16) = faa219f5
　　图1 md5加密
　　作为实验数据，我们在生成一组生日的md5密码如下：
　　MD5() = a8eb3ebc1e42ee44c8e3d
　　MD5() = 336a8eb3ebc1e42e
4.“使用字符集(Char Muster)”中的数字进行破解
　　将上面生成的数字md5&#20540;“336a8eb3ebc1e42e”放入单一md5密码破解输入框中，选中“Char Muster”后，依次可以选择“Number”、“lowercase”、“majuscule”、“special char”以及“custom”进行破解，在本例中使用数字进行破击，因此 “最小长度(Min Length)”中设置为“1”，“最大长度(Max Length)”中设置为“8”，然后单击“开始”按钮，使用数字进行md5破解，尝试破解密码位数从1～9999999之间的所有数字组合，如图8所示，其密码&#20540;破解成功，破解结果为“336a8eb3ebc1e42e
---& []”。
　　图8 使用数字进行破解
　　(1)在md5crack4中还可以定义数字、大小字母、特殊字符的组合来进行破解。
　　(2)如果计算机配置比较好，可以设置更多线程。
　　(3)如果自定义进行破解，建议先选择使用数字，然后依次是数字、大小字母、特殊字符的组合。破解时先易后难，否则破解时间太长。
　　(4)在md5crack4还可以“使用插件”进行破解。
　　(5)在md5crack4中还可以设置软件显示的语言版本，一共有中文简体和英语两个版本，单击主界面中的设置(Option)，即可进行设置，如图9所示。
　　图9 设置md5crack4
　　5.一次破解多个密码
　　将需要破解的md5密码全部存放到一个txt文件中，每一个密码独立一行，然后在md5crack4中单击“破解多个密文”，选择刚才编辑的md5密码文件，如图10所示，选择一种破解方式，在本案例中选择使用数字字典进行破解，最后单击“开始”按钮开始破解。
　　图10 破解多个md5密码&#20540;
　　在md5crack4右下方会显示破解结果，单击“日志”可以查看md5&#20540;校验等日志信息，单击“结果”可以查看破解的结果，如图11所示，在结果中会将md5&#20540;与原始密码进行一一对应。
　　图11 破解结果
　　Md5加解密是网络攻防中必须掌握的知识，本文介绍了使用md5cracker以及通过网站来对md5&#20540;进行破解，对md5破解，可以先在一些md5破解网站进行破解，如果未能破解，则可以在本地通过md5cracker进行破解。
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：244641次
积分：4166
积分：4166
排名：第5732名
原创：28篇
转载：958篇
(1)(3)(7)(4)(1)(2)(6)(43)(83)(13)(14)(35)(41)(23)(18)(10)(20)(34)(13)(4)(18)(13)(60)(93)(51)(59)(8)(21)(40)(8)(2)(4)(1)(2)(9)(20)(36)(10)(48)(30)(8)(37)(34)(10)}