让md5变得强大

Question

我正在制作一个与仅支持 md5 哈希方法 (atm) 的游戏集成的网站。哪个 ofc 不再特别安全了。但我怎样才能让它变得更强呢？我应该生成一长串随机字母和数字并对它们进行哈希处理吗？但是用户必须将密码保存在计算机中的 paper/txt 文件中。

你有什么建议？

Answer 1

对于你正在做的事情来说，md5 哈希值有什么问题？向其添加更多随机字符不会产生太大影响。

您可以查看 SHA 哈希，以获取 md5 的替代方案。

Answer 2

md5 的缺点有点被夸大了，但您可以使用 sha512 代替。这是一种更好的哈希算法。

Answer 3

虽然 MD5 由于其弱点而并不是最好的哈希算法，但这完全取决于您正在做什么。如果这是您唯一的选择，并且您希望在将密码存储到数据库之前对其进行哈希处理，请务必这样做。

您说 MD5 是您“目前”唯一的选择。这是否意味着您以后可能会有其他可用的哈希算法？现在考虑使用 MD5，但给自己留出使用其他算法的升级路径。

您可能需要考虑将盐与 MD5 结合使用。这将有助于防御某些攻击（例如彩虹表）。

Answer 4

如果用于密码散列，请考虑使用加盐散列，而不仅仅是对密码进行暴力散列。 查看维基百科

如果密码是用户选择的，请考虑设置密码强度指示器并也防止他们使用过于简单的工具。一件好事是检查它们至少是大/小/数字中的两个，并通过 clanglib 运行它们，如果失败，则拒绝设置密码。

除此之外，你一切都还好。

Answer 5

您到底对什么进行散列以及如何使用散列？

您是否有机会存储帐户密码以进行网站身份验证？密码散列的弱点是由于以错误的方式使用散列（任何散列）造成的，而不是由固有的散列算法的弱点造成的。没有人会暴力破解您的 MD5 哈希，问题将是针对已知哈希值（彩虹表）的字典攻击。保护措施是使用 HMAC 哈希值或类似的值，例如“加盐”哈希值。

如果您认为使用不同的哈希算法会给您带来任何好处，那么恐怕您就走错了路。虽然SHA1或SHA256确实具有更强的加密属性并且可以更长时间地承受暴力攻击，但如果使用不正确，即使是最强的哈希也将毫无用处。另一方面，如果使用得当，MD5 也能正常工作。