MD5算法学习整理
1. MD5是一种散列(hash)算法(摘要算法,指纹算法),不是一种加密算法,任何长度的任意内容都可以用MD5计算出散列值。
2. MD5算法是一种不可逆的算法,也就说通过MD5加密后的数据,很难通过加密的结果来推算原始数据。
3. 通过项目中的密码字段用MD5加密,这样黑客就算侵入服务器也不知道密码是什么。
4. 通过破解MD5算法的方法是穷举法,也就是大型词典,将常用密码进行MD5后建立数据库,网上的MD5破解网站都用的这种办法。
5. 因为MD5算法的不可逆特性,所以项目中用户忘记密码后,申请取回密码时,一般会让用户重新设定密码或者发送一个新的密码。
6. 大部分网站要求用户加强密码复杂度,就是为防止那种MD5字典网站的破解,但是通常大型网站不会特意要求用户采用高复杂度密码,因为内部会使用MD5加盐算法。
7. MD5加盐算法是经过理论验证算法,主要手段是用户输入字段加上一个复杂字段,比如对每个用户的PASSWORD进行PASSWORD+”awdij**&!@#ia”处理后,再进行MD5加密存入数据库。
8. MD5算法不仅仅可以给字符串加密,还可以给文件进行MD5转换,迅雷等下载软件用这种方法来检查下载文件是否被篡改。
9. 如果需要更安全的算法,建议不用MD5,而使用SHA-256, SHA(Secure Hash Algorithm,安全散列算法)是美国国家安全局(NSA)设计,美国国家标准与技术研究院(NIST)发布的一系列密码散列函数。目前还没有出现针对SHA-256算法的有效碰撞攻击方法,该算法也是开源算法,在很多地方可以找到,是MD5的一个不错的后继者。
10. 之前的“泄密门事件”对用户影响最大的恐怕是明文保存密码的CSDN和CSDN和天涯社区,如果当初他们使用散列算法将密码进行处理,就不会有这么大的影响。(不知道他们为什么不对密码进行加密)
11. 理论上说,可以加密那就一定有解密的办法,但是MD5还未破解(仅仅是个人理解)