MD5算法有一个新的漏洞:谷歌!
这里有一则新闻说会担心有兴趣的人security(这应该是几乎每个人都谁读足球竞猜app软件):通过了Juuso萨洛宁名称的程序员已经创建了一个名为Ruby脚本BozoCrackthat cracks MD5 hashed passwords with remarkable success and with very little effort.
在我们深入之前,让我们有一点点的背景:计算机系统需要一种机制来认证用户和进程,使好人可以拿去做工作,坏人被锁定。
IN PICTURES:安防行业全明星
最常用的身份验证方法是使用一个名称和密码,但如果你要以明文存储密码的系统上,你会运行的密码可能被暴露的风险。一个常见的解决方案是不是密码在所有存储,而是保持一种叫做密码的MD5哈希值。
MD5是由著名的计算机科学家创建的消息摘要加密散列“函数”的第五版本Ron Rivest。实现MD5算法发生在串并输出有几个有趣的属性,128位的散列值。
这些属性:任何输入的字符串进行散列(字符串可以是任意长度和字符集),在合理时间内,它是在实用性方面的计算是不可能的(除非你有多年,并获得了超级计算机)生成的字符串与特定的哈希值,使一个字符串的变化而改变的哈希值,并找到相同的哈希值的两个不同的字符串。
So, if you take a string such as "mysecretpassword" and run it through一个MD5实现你得到的散列值“4cab2a2db6a3c31b01d804def28276e6。”更改单个字符和散列值也将发生变化,这样做不可预知的。
与128位你有3.4×10 ^ 38,或周围340 undecillion可能的散列值。作为输入字符串来散列值,反之的关系也一样是不可预测的,你有什么是所谓的“单向”功能;你可以从字符串的哈希值去但不能从哈希值的字符串。
在实践中,当到计算机的用户登录,密码的MD5哈希值是动态计算,帐户名称在数据库中查找,并保存和计算的哈希值进行比较。只有当值的比赛是在用户允许访问。
你可以看到存储帐户名称及其password hash value together on a computer system is obviously far more secure than saving the account name with a plain text password, and this is the basis of user authentication checking for many operating systems andapplications。
用MD5函数的问题是,它一直示为“易碎”通过多种类型的复杂攻击。但是,随着这些攻击在技术上非常复杂的执行,MD5哈希值仍在广泛使用。
案例分析:研究人员设计无法检测钓鱼攻击
唉,BozoCrack算法增加漏洞进行MD5一个全新的层面,为萨洛宁评论说:“BozoCrack是一个令人沮丧的有效MD5哈希密码破解几乎为零CPU / GPU的负载。”
How does BozoCrack do its voodoo? The author explains: "Instead of彩虹表,字典, 要么蛮力,BozoCracksimply finds the plaintext password. Specifically, it googles the MD5 hash and hopes the plaintext appears somewhere on the first page of results. / It works way better than it ever should."
他为什么要创建它?“为了表明它是多么糟糕的主意,使用纯MD5作为密码哈希机制。老实说,如果密码可以用这个软件被破解,是没有任何借口。”
因此,再一次,我们做所有的谷歌化妆傻瓜的力量。
吉布斯是在加州Ventura安全。结清您在哈希gearhead@gibbs.com。