破解MD5……与谷歌? !

MD5算法有一个新的漏洞:谷歌!

这条消息会让感兴趣的人担心安全(这应该是几乎每个阅读的人足球竞猜app软件):一个名为Juuso Salonen的程序员创建了一个名为BozoCrack裂缝MD5哈希密码取得显着成绩,并用很少的努力。

在我们进一步讨论之前,让我们了解一下背景知识:计算机系统需要一种机制来验证用户和进程,这样好人就可以进入系统工作,坏人就会被锁在外面。

图辑:安全行业全明星

最常见的身份验证方法是使用名称和密码,但如果您要在系统上以明文存储密码,就会冒密码暴露的风险。一种常见的解决方案是根本不存储密码,而是保留密码的MD5哈希值。

MD5是由著名计算机科学家创建的消息摘要加密哈希“函数”的第五个版本罗恩·维斯特。实现MD5的算法接受字符串并输出具有几个有趣属性的128位哈希值。

这些属性:任何输入字符串可以散列(可以任意长度的字符串和字符集)在合理的时间和计算是不可能在实践中(除非你有多年和访问一台超级计算机)来生成一个字符串与特定的散列值,做出改变在一个没有变化的散列值的字符串,并找到两个不同的字符串相同的散列值。

所以,如果你把一个字符串,如“mysecretpassword”,并通过运行MD5实现您将获得散列值“4cab2a2db6a3c31b01d804def28276e6”。Change a single character and the hash value will also change and do so unpredictably.

对于128位,你有3.4 x 10^38,或者大约340 ^ 10的可能哈希值。由于输入字符串和散列值之间的关系是不可预测的,你有所谓的“单向”函数;可以从字符串到哈希值,但不能从哈希值到字符串。

实际上,当用户登录到计算机时,会动态计算密码的MD5哈希值,在数据库中查找帐户名,并比较保存的和计算的哈希值。只有当值匹配时,用户才被允许访问。

你可以看到,在计算机系统上存储的帐户名和密码的哈希值一起明显比使用明文密码保存帐户名更安全,这是用户认证检查的许多操作系统和基础应用

MD5功能的问题是,它已经被证明是“易碎的”通过几种复杂的攻击。但是由于这些攻击在技术上执行起来非常复杂,MD5散列仍然被广泛使用。

例子:研究人员设计了无法检测的钓鱼攻击

哎,BozoCrack算法给MD5增加了一个全新的漏洞维度,正如Salonen评论的那样:“BozoCrack是一个令人沮丧的高效MD5密码散列破解器,CPU/GPU负载几乎为零。”

如何BozoCrack尽自己的巫术?笔者解释道:“不是的彩虹表,字典,或蛮力,BozoCrack可以简单地认为明文密码。具体而言,网上搜寻MD5哈希,希望明文某处显示的搜索结果的第一页上。/它的工作方式比以往任何时候都应该“。

他为什么要创造它?来展示使用纯MD5作为密码散列机制是多么糟糕的想法。老实说,如果这个软件可以破解密码,那就没有借口了。”

因此,谷歌的力量再一次愚弄了我们所有人。

吉布斯在加州文图拉很安全gearhead@gibbs.com

加入网络世界社区足球竞猜app软件脸谱网LinkedIn对最重要的话题发表评论。
相关:

版权©2011足球竞彩网下载

工资调查:结果在