MD5的全称是Message-Digest Algorithm 5(信息-摘要算法),在90年代初由MIT Laboratory for Computer Science和RSA Data Security Inc的Ronald L. Rivest开发出来,经MD2、MD3和MD4发展而来。——百度百科

使用MD5算法对密码进行加密是目前常用的做法,但是随着MD5的使用时间越来越久,我们可以通过暴露出来的MD5碰撞出原来的密码。

photo by Fabian Grohs

123456进行MD5加密之后,得到:e10adc3949ba59abbe56e057f20f883e,当下一次我们看到e10adc3949ba59abbe56e057f20f883e之后就知道密码是123456。

目前有很多网站都提供MD5的碰撞服务

例如:cmd5

他通过暴露出来的MD5对密码进行破解,所以这里我们还需要对密码进行”加盐”操作,其原理是在密码中前或后加入随机数,使得碰撞出来的密码并只有一部分是真实的密码,从而增加了破解的成本。

这里从网上找了MD5加盐的Java代码

import java.security.MessageDigest;  
import java.util.Random;  

import org.apache.commons.codec.binary.Hex;  

public class PasswordUtil {  
    /** 
     * 生成含有随机盐的密码 
     */  
    public static String generate(String password) {  
        Random r = new Random();  
        StringBuilder sb = new StringBuilder(16);  
        sb.append(r.nextInt(99999999)).append(r.nextInt(99999999));  
        int len = sb.length();  
        if (len < 16) {  
            for (int i = 0; i < 16 - len; i++) {  
                sb.append("0");  
            }  
        }  
        String salt = sb.toString();  
        password = md5Hex(password + salt);  
        char[] cs = new char[48];  
        for (int i = 0; i < 48; i += 3) {  
            cs[i] = password.charAt(i / 3 * 2);  
            char c = salt.charAt(i / 3);  
            cs[i + 1] = c;  
            cs[i + 2] = password.charAt(i / 3 * 2 + 1);  
        }  
        return new String(cs);  
    }  

    /** 
     * 校验密码是否正确 
     */  
    public static boolean verify(String password, String md5) {  
        char[] cs1 = new char[32];  
        char[] cs2 = new char[16];  
        for (int i = 0; i < 48; i += 3) {  
            cs1[i / 3 * 2] = md5.charAt(i);  
            cs1[i / 3 * 2 + 1] = md5.charAt(i + 2);  
            cs2[i / 3] = md5.charAt(i + 1);  
        }  
        String salt = new String(cs2);  
        return md5Hex(password + salt).equals(new String(cs1));  
    }  

    /** 
     * 获取十六进制字符串形式的MD5摘要 
     */  
    public static String md5Hex(String src) {  
        try {  
            MessageDigest md5 = MessageDigest.getInstance("MD5");  
            byte[] bs = md5.digest(src.getBytes());  
            return new String(new Hex().encode(bs));  
        } catch (Exception e) {  
            return null;  
        }  
    }  

    public static void main(String[] args) {  
        String password = generate("admin");  
        System.out.println(verify("admin", password));  
    }  
}