转载:MD5撞库

最新推荐文章于 2025-05-09 11:23:59 发布
最新推荐文章于 2025-05-09 11:23:59 发布
阅读量1.8k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: Linux 文章标签: 加密解密
原文链接:https://blog.csdn.net/weixin_44437000/article/details/97677657

今天面试的时候,对自己项目里关于用到的MD5加密方式,面试官询问了一下对MD5撞库了解吗?我当时是一脸懵,没有涉及过安全领域的我从来没听说过,什么是撞库?MD5撞库又是什么?于是面试凉了

来网上搜集了一下撞库的资料,由于不是做安全方面的,不做具体深入的了解了。

首先是最常见的三种撞库方法

第一种:用n个密码字典撞m个账号,这个的表象是,一个账号在某个较短的时间内,可能会有多次密码尝试。所以,可以在账号层加限制措施,比如:一天内,一个账号,密码错误次数超过5次时,1天之内禁止登陆(或者校验手机短信/密保问题之后才能登陆)。

第二种:用几个密码撞n个账号,这个的表象是,密码出现的频率会非常高,所以,可以统计一段时间内每个密码的错误次数,超过一定阈值时,这个密码在一段时间内禁止登录(或者校验手机短信/密保问题之后才能登陆)。

第三种:用n组一一对应的账号密码来再撞库,这种情况的撞库单纯从账号、密码的维度来看,不会有明显的异常。所以,需要一些其他的应对措施。比如:

1)IP封禁,如果一段时间内,单个IP地址,密码错误次数超过阈值,则禁止这个IP一段时间再登录(或者校验手机短信/密保问题之后才能登陆)。不过,如大家所说,现在代理IP相当廉价,从IP层面来封禁基本上没啥作用。

2)建立IP画像库,对代理IP、IDC IP等高危的IP直接禁止登陆(或者校验手机短信/密保问题之后才能登陆)。自己建立IP画像库成本可能会有点高,可以考虑采购安全厂商的类似服务。

3)现在比较火的行为验证码,比如:拖条、点选、拼图等各种花样的验证码。只是说,如果之前登录不需要验证码,现在要加上一个验证码,估计要和产品撕逼。一般来说最后为了后期的运营,产品也会同意加上验证码。

4)从设备层面来识别和封禁,通过在客户端植入sdk,收集用户端的设备信息,从设备层面来做高频策略,或者,直接识别出非正常的设备,然后对设备进行封杀。

5)从行为层面来识别和封禁,和上面一条一样,通过客户端植入sdk,收集用户在登录页面的交互行为,通过机器学习、大数据建模,训练出正常用户、异常用户的行为模型,在交互行为层面,将撞库的行为识别出来。这个需要有预先训练好的行为模型,现在机器学习那么好,不说大家也都知道,自己训练一个模型肯定需要很多标注数据,这也就意味着成本。所以,还是建议寻找安全厂商还做,毕竟专业的人做专业的事,靠谱!

原文链接:https://blog.csdn.net/wangyiyungw/article/details/84584163

然后md加密发展历史

MD2
## Rivest在1989年开发出MD2算法。在这个算法中,首先对信息进行数据补位,使信息的字节长度是16的倍数。然后,以一个16位的校验和追加到信息末尾,并且根据这个新产生的信息计算出散列值。后来,Rogier和Chauvaud发现如果忽略了校验和MD2将产生冲突。MD2算法加密后结果是唯一的(即不同信息加密后的结果不同)。 MD4 为了加强算法的安全性,Rivest在1990年又开发出MD4算法。**

MD4
MD4算法同样需要填补信息以确保信息的比特位长度减去448后能被512整除(信息比特位长度mod 512 =448)。然后,一个以64位二进制表示的信息的最初长度被添加进来。信息被处理成512位damg?rd/merkle迭代结构的区块,而且每个区块要通过三个不同步骤的处理。Denboer和Bosselaers以及其他人很快的发现了攻击MD4版本中第一步和第三步的漏洞。Dobbertin向大家演示了如何利用一部普通的个人电脑在几分钟内找到MD4完整版本中的冲突(这个冲突实际上是一种漏洞,它将导致对不同的内容进行加密却可能得到相同的加密后结果)。毫无疑问,MD4就此被淘汰掉了。尽管MD4算法在安全上有个这么大的漏洞,但它对在其后才被开发出来的好几种信息安全加密算法的出现却有着不可忽视的引导作用。

MD5
1991年,Rivest开发出技术上更为趋近成熟的md5算法。它在MD4的基础上增加了"安全-带子"(safety-belts)的概念。虽然MD5比MD4复杂度大一些,但却更为安全。这个算法很明显的由四个和MD4设计有少许不同的步骤组成。在MD5算法中,信息-摘要的大小和填充的必要条件与MD4完全相同。Den boer和Bosselaers曾发现MD5算法中的假冲突(pseudo-collisions),但除此之外就没有其他被发现的加密后结果了。

这些就是现在MD5的历史,那么接下来我们就在来聊下密码破解

- md5在理论上是几乎无法破解的,但是可以撞库
撞库攻击也就是黑客通过收集互联网已泄露的用户+密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登陆的用户,这样一旦用户为了省事,在多个网站设置了同样的用户名和密码的话,黑客很容易就会通过字典中已有的信息,登录到这些网站,从而获得用户的相关信息,如:手机号码、身份证号码、家庭住址,支付宝及网银信息等。这些信息泄露后,不仅会给用户和精神和经济带来巨大损失,同时也会给相关网站带来负面影响。简单理解撞库就是黑客无聊的“恶作剧”,

原文链接:https://blog.csdn.net/weixin_44437000/article/details/97677657

MD5
weixin_44437000的博客
07-29 2264
我们生活在这个大数据时代,密码已经和我们的生活息息相关,而现在主流的加密式有 cipher aes des md5 sha256 dsa ecdsa elliptic hmac rand rc4 rsa。虽然现在加密的方式有那么多但是今天在这里主要讲的是MD5加密方式 md加密发展历史 MD2 ## Rivest在1989年开发出MD2算法。在这个算法中,首先对信息进行数据补位,使信息...
20210220--CTF小笔记之常见的md5
qq_45290991的博客
02-20 1856
0e开头的md5和原值: QNKCDZO 0e830400451993494058024219903391 s878926199a 0e545993274517709034328855841020 s155964671a 0e342768416822451524974117254469 s214587387a 0e848240448830537924465865611904 s214587387a 0e8..
防止md5破解及逆向算法破解用户MD5密码 - 随机取样密码加密算法
09-09
随机取样密码加密算法 功能:防止md5破解及逆向算法破解用户MD5密码 原理:对明文使用32位随机数组取指纹后重组字符串,再取md5值 echo '无法破解的MD5密文:'. Encrypt_PassWord('password');//无法通过字典破解原文的随机加密密文 echo "\r\n<br />\r\n"; echo '可以被字典破解的MD5密文:'. md5('password');//可以被字典破解的MD5 Power By: Xiao Jun abc195@qq.com Example: echo Encrypt_PassWord('password');
MD5哈希算法的动态封装实现与应用
weixin_35578748的博客
05-07 1045
MD5(Message-Digest Algorithm 5)是一种广泛使用的密码散列函数,能够产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。它是基于MD4算法发展而来,并且在安全性上进行了加强。MD5算法常用于验证数据的完整性,因为即使是非常小的数据变化,都会导致生成完全不同的散列值,从而能够检测出数据是否被篡改。封装动态的主要目的是为了解耦。它允许我们将动态的功能隐藏在一个易于理解和使用的接口之后。
好用的MD5
m0_53220012的博客
05-31 698
Cmd5 - MD5 Online ,MD5 Decryption, MD5 Hash Decoder https://www.cmd5.org
MD5 算法的加密、破解及Python实现和操作演示
Ax的博客
04-15 9012
一、前言 二、MD5 加密原理和特性 三、MD5 加密算法的 Python 实现 四、MD5 解密的简单 Python 实现与演示流程 五、MD5算法的改进——加入字符串 六、关于密码的查看和建议 附录: 1、其他破解方法对比 2、MD5在线加密解密直通车
MD5和题
Q221022的博客
03-12 5009
MD5 相同的情况叫做“碰”,现在网络中已经出现了两个相同的 MD5 可执行文件,所以MD5现在已经被弃用了,发生碰的概率是1/(2^128)。 SHA-1 也会发生碰,但是几率比 MD5 小的多。 2004年,我国中科院院士王小云证实md5算法无法防止碰,因此,不适用于安全性认证。在2005年,王小云院士提出了md5哈希碰,公式如下 f(f(s, M), M') = f(f(s, N), N') 因为她的研究成果表明了给定消息 M1,能够计算获取 M2,使得 M2 产生的散列值与
sjhfkhsf的博客
02-20 720
【高频考点精讲】前端密码安全存储方案:加盐哈希和bcrypt的实战应用
最新发布
全栈老李的博客
05-09 871
🧑‍🏫:全栈老李📅:20255 月🧑‍💻:前端初学者、进阶开发者🚀:本文由全栈老李原创,转载请注明出处。大家好,我是全栈老李。今天咱们聊一个前端开发中容易被忽视但极其重要的知识点——。你有没有想过,为什么很多网站被拖(数据泄露)后,用户的密码依然安全?而有些网站一旦被攻破,用户密码就裸奔了?这背后的关键就是。和。
盘点近年来的各国各行较知名的互联网安全事件
热门推荐
chengzengchi4787的博客
06-14 2万+
Manual 盘点近年来的各国各行较知名的数据泄露、供应链污染事件 数据泄露 2019 6月 中国猎头公司 FMC Consulting 配置错误的ElasticSearch集群造成数据泄露(据文章称涉事公司收到报告毫无反应,直到CNCERT出面才下线数据) 泄露内容:数百万份简历和公司记...
CVE-2018-14418 擦出新火花
weixin_30663391的博客
09-11 1215
笔者《Qftm》原文发布:https://xz.aliyun.com/t/6223 0x00 前言 最近,一次授权的渗透测试项目意外的出了(CVE-2018-14418)新的火花,在这里分享给大家,同时简单记录一下自己的渗透测试过程,一些敏感信息已打码,相关漏洞已报送厂商修复。 0x01 Msvod Cms SQL注入漏洞原始 详解 漏洞ID 1226187 漏洞类型 SQL注入...
MD5官方类(包含swc和源代码)
10-13
MD5官方类:包含swc和源代码。要使用md5的话,具体方法是MD5.hash()这个函数,函数里填写你要加密的字符串
C版本MD5
09-21
C版本MD5 参考README.md 内容 #file list makefile #编译文件 md5.c md5.h test_md5_hash.c #测试样例文件 README.md #帮助文件 ========== 该目前仅仅支持Gun/Linux/Unix 系列的编译 若是winxp/win7/win8 系列请自己包含进去,或者自己重新打包 代码是从bPostgreSQL中的文件copy出来的,经过自己的测试,重新提取打包出来的 目前这个的代码是在 PG 的 8.5RS 里面用的 MD5 返回的是一个 32位的消息hash因此需要一个char 类型的返回buf query_md5 =(char *)malloc(33); 函数调用 md5_hash(argv[1],query_len,query_md5); argv1 需要加密的数据 argv2 加密数据长度 argv3 密文 MD5.c 里面其他函数不常用,有兴趣的自己看一下吧,注释是用英文写的,基本上都能看 懂,不能看懂的,Google翻译一下就行了 自己的文件编译已测试样例文件为例 make后同时生成静态和动态 libminmd5.a 静态 libminmd5.so 动态 1、静态的用法 gcc -o test test_md5_hash.c -L. -lminmd5 -I. -L #文件的路径, -l #名字,通常情况下就是 去掉后缀和前缀lib的名字 -I #头文件的路径 PS:动态和静态文件同名的建议不要放在一起,不然 ld的时候有可能找错文件 2、动态的用法 gcc -o test test_md5_hash.c -g -L. -lminmd5 -I. 编译完后,建议将so 文件copy 到/usr/lib 然后执行 ldconfig 或者写死一点 gcc -o test test_md5_hash.c -g -L. -lminmd5 -I. -Wl,-rpath,. -Wl,-rpath,. #告诉ld 从本地找(W后面是L小写的),rpath里面接的是文件存在 的路径,正常应用建议用第一种方案,第二种方案在写小测试程序的时候,可以考虑。 至于选静态还是动态,就看具体应用场景了,静态的坏处是把代码编译进去了, 若是程序按字节收费还是可以的,(PS,吐槽那个写了一个10w,10G的程序中国神童)
MD5,适合嵌入式移植
02-10
MD5,适合进行嵌入式移植,可以通过连接动态,即提供的三个接口:MD5Init(), MD5Update()和MD5Final()实现md5值计算。
C语言实现的MD5
12-29
用C语言实现的MD5。使用方法见http://blog.csdn.net/huang_yx005/article/details/53911477
MD5动态链接
02-08
dll提供一个MD5加密导出函数,可直接动态加载导出调用
windows下命令行计算文件hash值
zhaozhanyong的专栏
03-21 1万+
certutil -hashfile D:\1.exe MD5 certutil -hashfile D:\1.exe SHA1 certutil -hashfile D:\1.exe SHA256
md5等摘要算法的「」与「加盐」(Ⅰ)
airCyan_的博客
11-09 1083
在网络安全中,“攻击”和“加盐”是经常听到的术语,而 MD5 等摘要算法的特性也使它们在密码学领域备受关注。今天,我将为大家科普 MD5 摘要算法的基本原理,以及和加盐技术的作用与区别。MD5(Message Digest Algorithm 5)是 Ronald Rivest 在 1991 年设计的一种消息摘要算法,通常用于生成 128 位的哈希值。不可逆性:MD5 将输入消息(如密码)通过算法处理,生成一串固定长度的“摘要”,从而隐去了原始数据内容。但算法本身无法通过结果直接反推原文。
md5等摘要算法的「」与「加盐」(Ⅱ)
airCyan_的博客
11-09 831
在信息安全中,密码存储和验证是至关重要的一环,而 MD5 等哈希算法的广泛应用使其在安全性方面备受关注。今天,我将从更专业的角度带大家了解 MD5 摘要算法的特性、常见的安全隐患,以及如何通过合理的架构设计实现更高的安全性。MD5 的“抗碰性”不足,这意味着攻击者可以在短时间内找到两个不同的输入生成相同的哈希值(即哈希碰)。彩虹表攻击:黑客利用预先计算的“彩虹表”(包含了大量密码的哈希值)对数据哈希值进行比对,实现密码破解。碰攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值