MD5和序列号

发布于 2024-08-03 23:28:20 字数 149 浏览 3 评论 0原文

我有一些很容易猜到的连续 ID。如果有人想查看与此 ID 相关的数据，他必须通过我之前给他的令牌来证明他的访问权限。

token = md5(secret_key + md5(id))

MD5 足以胜任这项工作吗？

原文

I have some sequential id which can be easily guessed. If some want to see data related to this id he has to prove his access by token I gave him before.

token = md5(secret_key + md5(id))

Is MD5 good enough for this job?

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

我做我的改变 2024-08-10 23:28:20

从技术上讲，人们甚至不需要在连接之前对 id 进行 md5 就可以保证足够的加盐安全。

不过，我通常建议使用 sha-256 或 sha-512，除非有一些严重的性能问题（例如嵌入式编程）。

回复收藏 0 原文

尬尬 2024-08-10 23:28:20

这实际上取决于您想要保护的内容，但可能不是。我认为没有任何理由不使用更强的哈希函数。

回复收藏 0 原文

一个人练习一个人 2024-08-10 23:28:20

假设这用于身份验证，我将使用 HMAC。例如，请参阅 FIPS PUB 198。例如，这允许您使用安全散列函数（不是 MD5），按照描述截断结果并仍然获得安全令牌。

回复收藏 0 原文

猫九 2024-08-10 23:28:20

不要使用 MD5。它坏了。我不敢相信 VeriSign 居然还有人使用 MD5。有一些测试套件可用于确定 MD5 的哈希冲突，以用于破坏 MD5 哈希比较。

至少使用 SHA-1。我建议使用 SHA-5。

回复收藏 0 原文

两个我 2024-08-10 23:28:20

如果 ID 很容易被猜到，那么这并不是非常安全，除非密钥很长。

我的电脑可以在大约一天内根据 MD5 暴力破解 6 个字符的 Secret_key 值。能够使用更快/更多计算机的人可以大大减少该时间。密钥中每增加一个数字，破解时间就会增加 10 倍。由于ID很容易被猜到，因此它是计算出的MD5值，因此并不会增加逆向获取secret_key的难度。

回复收藏 0 原文

月朦胧 2024-08-10 23:28:20

我建议使用替代解决方案，或者（如果不可接受）向您的 md5 生成例程添加更多数据。如果你的 Secret_key 是常量，并且我能够对一个哈希值进行逆向工程，那么我就可以为任何其他 ID 生成正确的密钥。

如果您在 md5 生成中构建一些内容，例如与数据一起存储的随机盐加上当前时间（如果与您正在保护的记录相关联），那么它将大大增加攻击的难度。

请参阅：

http://www.freerainbowtables.com/

回复收藏 0 原文

~没有更多了~

关于作者

最笨的告白

暂无简介

0 文章

0 评论

23 人气

关注发私信

友情链接

文江博客

MD5和序列号

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（6）

关于作者

相关话题

热门标签

推荐作者

爱人如己

萧瑟寒风

云雾

倒带

浮世清欢

撩起发的微风

友情链接

MD5和序列号

如果你对这篇内容有疑问，欢迎到本站社区发帖提问 参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（6）

关于作者

相关话题

热门标签

推荐作者

爱人如己

萧瑟寒风

云雾

倒带

浮世清欢

撩起发的微风

友情链接

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。