转载:MD5撞库

最新推荐文章于 2023-03-24 15:06:49 发布
最新推荐文章于 2023-03-24 15:06:49 发布
阅读量1.5k 收藏 2
点赞数
分类专栏: Linux 文章标签: 加密解密
原文链接:https://blog.csdn.net/weixin_44437000/article/details/97677657
版权

今天面试的时候,对自己项目里关于用到的MD5加密方式,面试官询问了一下对MD5撞库了解吗?我当时是一脸懵,没有涉及过安全领域的我从来没听说过,什么是撞库?MD5撞库又是什么?于是面试凉了

来网上搜集了一下撞库的资料,由于不是做安全方面的,不做具体深入的了解了。

首先是最常见的三种撞库方法

第一种:用n个密码字典撞m个账号,这个的表象是,一个账号在某个较短的时间内,可能会有多次密码尝试。所以,可以在账号层加限制措施,比如:一天内,一个账号,密码错误次数超过5次时,1天之内禁止登陆(或者校验手机短信/密保问题之后才能登陆)。

第二种:用几个密码撞n个账号,这个的表象是,密码出现的频率会非常高,所以,可以统计一段时间内每个密码的错误次数,超过一定阈值时,这个密码在一段时间内禁止登录(或者校验手机短信/密保问题之后才能登陆)。

第三种:用n组一一对应的账号密码来再撞库,这种情况的撞库单纯从账号、密码的维度来看,不会有明显的异常。所以,需要一些其他的应对措施。比如:

1)IP封禁,如果一段时间内,单个IP地址,密码错误次数超过阈值,则禁止这个IP一段时间再登录(或者校验手机短信/密保问题之后才能登陆)。不过,如大家所说,现在代理IP相当廉价,从IP层面来封禁基本上没啥作用。

2)建立IP画像库,对代理IP、IDC IP等高危的IP直接禁止登陆(或者校验手机短信/密保问题之后才能登陆)。自己建立IP画像库成本可能会有点高,可以考虑采购安全厂商的类似服务。

3)现在比较火的行为验证码,比如:拖条、点选、拼图等各种花样的验证码。只是说,如果之前登录不需要验证码,现在要加上一个验证码,估计要和产品撕逼。一般来说最后为了后期的运营,产品也会同意加上验证码。

4)从设备层面来识别和封禁,通过在客户端植入sdk,收集用户端的设备信息,从设备层面来做高频策略,或者,直接识别出非正常的设备,然后对设备进行封杀。

5)从行为层面来识别和封禁,和上面一条一样,通过客户端植入sdk,收集用户在登录页面的交互行为,通过机器学习、大数据建模,训练出正常用户、异常用户的行为模型,在交互行为层面,将撞库的行为识别出来。这个需要有预先训练好的行为模型,现在机器学习那么好,不说大家也都知道,自己训练一个模型肯定需要很多标注数据,这也就意味着成本。所以,还是建议寻找安全厂商还做,毕竟专业的人做专业的事,靠谱!

原文链接:https://blog.csdn.net/wangyiyungw/article/details/84584163

然后md加密发展历史

MD2
## Rivest在1989年开发出MD2算法。在这个算法中,首先对信息进行数据补位,使信息的字节长度是16的倍数。然后,以一个16位的校验和追加到信息末尾,并且根据这个新产生的信息计算出散列值。后来,Rogier和Chauvaud发现如果忽略了校验和MD2将产生冲突。MD2算法加密后结果是唯一的(即不同信息加密后的结果不同)。 MD4 为了加强算法的安全性,Rivest在1990年又开发出MD4算法。**

MD4
MD4算法同样需要填补信息以确保信息的比特位长度减去448后能被512整除(信息比特位长度mod 512 =448)。然后,一个以64位二进制表示的信息的最初长度被添加进来。信息被处理成512位damg?rd/merkle迭代结构的区块,而且每个区块要通过三个不同步骤的处理。Denboer和Bosselaers以及其他人很快的发现了攻击MD4版本中第一步和第三步的漏洞。Dobbertin向大家演示了如何利用一部普通的个人电脑在几分钟内找到MD4完整版本中的冲突(这个冲突实际上是一种漏洞,它将导致对不同的内容进行加密却可能得到相同的加密后结果)。毫无疑问,MD4就此被淘汰掉了。尽管MD4算法在安全上有个这么大的漏洞,但它对在其后才被开发出来的好几种信息安全加密算法的出现却有着不可忽视的引导作用。

MD5
1991年,Rivest开发出技术上更为趋近成熟的md5算法。它在MD4的基础上增加了"安全-带子"(safety-belts)的概念。虽然MD5比MD4复杂度大一些,但却更为安全。这个算法很明显的由四个和MD4设计有少许不同的步骤组成。在MD5算法中,信息-摘要的大小和填充的必要条件与MD4完全相同。Den boer和Bosselaers曾发现MD5算法中的假冲突(pseudo-collisions),但除此之外就没有其他被发现的加密后结果了。

这些就是现在MD5的历史,那么接下来我们就在来聊下密码破解

- md5在理论上是几乎无法破解的,但是可以撞库
撞库攻击也就是黑客通过收集互联网已泄露的用户+密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登陆的用户,这样一旦用户为了省事,在多个网站设置了同样的用户名和密码的话,黑客很容易就会通过字典中已有的信息,登录到这些网站,从而获得用户的相关信息,如:手机号码、身份证号码、家庭住址,支付宝及网银信息等。这些信息泄露后,不仅会给用户和精神和经济带来巨大损失,同时也会给相关网站带来负面影响。简单理解撞库就是黑客无聊的“恶作剧”,

原文链接:https://blog.csdn.net/weixin_44437000/article/details/97677657

AIxiaoming1105
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MD5 开源库 C++
11-22
MD5 开源库 c++ 代码, 带测试代码 void printMD5(const string& message) { cout << "md5(\"" ) = " << MD5(message).toStr() ; } int main() { printMD5(""); printMD5("a"); printMD5("abc"); printMD5(...
微信小程序:MD5加密
12-20
用于微信小程序MD5加密,放在util文件里面可以直接使用
密码学:MD5+Mysql
05-28
可以用在用户登录注册是对密码进行加密解密
MD5 算法的加密、撞库破解及Python实现和操作演示
Ax的博客
04-15 7750
一、前言 二、MD5 加密原理和特性 三、MD5 加密算法的 Python 实现 四、MD5 撞库解密的简单 Python 实现与演示流程 五、MD5算法的改进——加入字符串 六、关于密码的查看和建议 附录: 1、其他破解方法对比 2、MD5在线加密解密直通车
2022第三届全国大学生网络安全精英赛练习题(全部试题)
热门推荐
qq_64451048的博客
12-04 1万+
2022第三届全国大学生网络安全精英赛练习题
使用python hashlib模块给明文字符串加密,以及如何撞库破解密码
求真、务实
03-04 2540
文章目录:1 hashlib介绍2 hashlib模块使用2.1 查看hashlib中有哪些hash算法2.2 对字符串进行加密2.3 对于数据比较大,加密可以分块,结果一样2.4 hashlib的高级用法2.5 校验文件的一致性3 hmac模块的加密方式,于hashlib类似4 破解用户密码 1 hashlib介绍 1、Hash,译做“散列”,也有直接音译为“哈希”的。把任意长度的输入,通过某种hash算法,变换成固定长度的输出,该输出就是散列值,也称摘要值。该算法就是哈希函数,也称摘要函数。 2、has
前端md5加密、校验内容是否被篡改
xiaoqiaolushang的博客
12-16 1056
前端md5加密(spark-md5.js)、校验文件内容是否被篡改、下载插件、前端代码
MD5碰撞与撞库和题
Q221022的博客
03-12 4193
MD5 相同的情况叫做“碰撞”,现在网络中已经出现了两个相同的 MD5 可执行文件,所以MD5现在已经被弃用了,发生碰撞的概率是1/(2^128)。 SHA-1 也会发生碰撞,但是几率比 MD5 小的多。 2004年,我国中科院院士王小云证实md5算法无法防止碰撞,因此,不适用于安全性认证。在2005年,王小云院士提出了md5哈希碰撞,公式如下 f(f(s, M), M') = f(f(s, N), N') 因为她的研究成果表明了给定消息 M1,能够计算获取 M2,使得 M2 产生的散列值与
MD5加密竟然不安全,应届生表示无法理解?
默默不代表沉默
03-24 2518
MD5加密竟然不安全
python编写使用AES、MD5、DES进行加解密
老鹰的博客
07-25 1464
记录之前做开发时用到的各类加密方法~ 使用AES-ECB-CS5进行加解密 # -*- coding: utf-8 -*- from base64 import b64decode from Crypto.Cipher import AES import base64 BLOCK_SIZE = 16 pad = lambda s: bytes(s +(BLOCK_SIZE - len...
MD5加密及Python源码魔改
Codeooo 博客
08-19 1万+
MD5全称:message-digest algorithm 5 翻译过来就是:信息 摘要 算法 5 一、特点 1.长度固定: 不管多长的字符串,加密后长度都是一样长 作用:方便平时信息的统计和管理 详解:经过MD5加密生成一个固定长度为128bit的串。因为128位0和1的二进制串表达不友好,因此转化为了16进制,128/4 = 32位的16进制。将32位去掉前8位和后8位得到的是16位。因此会有MD5的32位 和16位加密说法 2.易计算: 字符串和文件加密的过程..
md5加密的js库
10-20
使用md5('Message to hash'); var hash = md5.create(); hash.update('Message to hash'); hash.hex(); 实例:md5(''); // d41d8cd98f00b204e9800998ecf8427e md5('The quick brown fox jumps over the lazy dog'); ...
Md5加密支持库
07-24
Md5加密支持库
python模块_Python常用模块
weixin_39594439的博客
11-14 234
andom模块datetime模块time模块os模块sys模块hashilib模块序列化-json模块序列化-pickle模块正则表达式re模块paramikologging模块模块和包模块其实就是我们把一些公用的功能代码写入在一个py文件中. 在其他模块中可以随意的使用该文件中的代码. 那么导入一个模块的语法1. import 模块2. from 模块 import 功能本节我们主要是学...
好用的MD5撞库
m0_53220012的博客
05-31 366
Cmd5 - MD5 Online ,MD5 Decryption, MD5 Hash Decoder https://www.cmd5.org
Python基础
dee73219的博客
07-26 3055
目录 Python的基础认知 1. 计算机基础知识 2. Python的应用和历史 3. Python是一门什么语言 4. Python的优缺点 5. Python的种类 Python基础知识 1. Pyt...
五种常见的加密方式及常用的加解密工具
m0_69916115的博客
07-15 1万+
如果你是互联网公司的信息安全从业者,那么你可能会经常需要处理撞库事件,撞库是黑客的无聊“恶作剧”。黑客收集已经在互联网上泄露的用户和密码信息,生成对应的字典表,并尝试批量登录其他网站,然后得到一系列可以登录的用户。撞库的根本原因是一些公司发生了信息泄露事件,而且泄露的数据没有加密或者加密方式比较弱,这样黑客就可以还原出原来的用户密码。可见,密码加密并不是简单加密就行的,对于密码加密的重要性就不用过的赘述了,相信大家都了解。...
Python脚本——MD5碰撞和HTML转义
Forever_Han13的博客
02-22 747
import hashlib for i in range(1,100000000000): s = hashlib.md5(str(i).encode("utf-8")).hexdigest()[0:6] if s == "184b43": print(i) break in_str = "(function(){window.location.href='http://xss.buuoj.cn/index.php?do=api&id=3MGcX
python实现md5撞库解密
最新发布
08-10
Python提供了一个内置的`hashlib`模块,可以用来实现MD5的加密和解密操作。但是需要注意的是,MD5是单向不可逆的加密算法,无法通过解密来获取原始的明文。 然而,可以使用预先计算好的MD5散列值与已知散列值进行比较,以查找匹配的明文。这样的过程通常被称为"撞库"或"破解"。但是这种方法需要具备预先计算一组可能的明文并计算MD5散列值的能力。 下面是一个简单的示例代码,演示了如何使用Python中的`hashlib`模块进行MD5撞库解密: ```python import hashlib # 已知的MD5散列值 known_hash = "098f6bcd4621d373cade4e832627b4f6" # 待破解的明文列表 passwords = [ "password1", "letmein", "qwerty", "123456", # 添加更多的可能密码 ] # 遍历明文列表 for password in passwords: # 计算当前明文的MD5散列值 md5_hash = hashlib.md5(password.encode()).hexdigest() # 比较计算得到的散列值与已知散列值 if md5_hash == known_hash: print("密码破解成功!明文密码为:", password) break ``` 请注意,这个示例只是为了演示目的,并不能保证能够成功破解所有的密码。实际情况中,密码的复杂度、长度等因素都会对破解的难度产生影响。此外,撞库行为是非法的,未经授权不得进行。在实际应用中,请遵守相关法律法规和道德规范。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值