目前最安全的单向加密算法是什么？

Question

许多人都知道，单向加密是加密数据库中用户密码的一种便捷方法。这样，即使是数据库管理员也无法知道用户的密码，而必须猜测密码，使用相同的算法对其进行加密，然后将结果与数据库中的加密密码进行比较。这意味着破解密码的过程需要大量的猜测和大量的处理能力。

看到计算机变得越来越快，数学家仍在开发这些算法，我想知道考虑到现代计算能力和加密技术，哪一种是最安全的。

多年来我几乎只使用 MD5，我想知道是否还应该做更多的事情。我应该考虑不同的算法吗？

另一个相关问题：这样的加密密码的字段通常应该有多长？我必须承认，我对加密几乎一无所知，但我假设 MD5 散列（作为示例）可能更长，并且可能需要更多的处理能力来破解。或者，如果加密的密码首先适合该字段，那么该字段的长度根本不重要吗？

Answer 1

警告：自 2010 年撰写本文以来，GPU 已被广泛部署来暴力破解密码哈希。价格适中的 GPU
每秒可以运行一百亿个MD5。这意味着即使是一个
完全随机的 8 字符字母数字密码（62 个可能
字符）可以在 6 小时内被暴力破解。 SHA-1 仅轻微
慢一点的话，需要一天的时间。您的用户的密码要弱得多，并且
（即使使用加盐）将以每个密码数千个的速度下降
第二。哈希函数被设计得非常快。你不想要这个
用于密码。使用 scrypt、bcrypt 或 PBKDF-2。

MD5 早在 1996 年就被发现很弱，不应再用于加密目的。 SHA-1 是常用的替代品，但 有类似的问题。 SHA-2 系列 哈希函数是当前 SHA-1 的替代。 SHA-2 的成员分别称为 SHA-224、SHA-256、SHA-384 和 SHA-512。

目前，多个哈希函数正在竞相成为SHA-3 ，下一个标准化的加密哈希算法。 2012 年将选出获胜者。这些都还不应该使用！

对于密码哈希，您还可以考虑使用 bcrypt。它的设计速度足够慢，使得大规模的暴力攻击变得不可行。您可以自己调整速度，这样当计算机变得更快时，速度就可以变慢。

警告：bcrypt 基于较旧的双向加密算法 Blowfish，目前已有更好的替代算法。我认为 bcrypt 的加密哈希属性还没有被完全理解。如果我错了，有人纠正我；我从未找到可靠的来源从密码学的角度讨论 bcrypt 的属性（除了它的缓慢性）。

令人放心的是，与公钥加密或数字签名相比，密码散列的冲突风险要小一些。如今使用 MD5 对于 SSL 来说是一个糟糕的主意，但对于 SSL 来说却并非同样灾难性的密码散列。但如果你有选择的话，那就选择一个更强的。

使用良好的哈希函数不足以来保护您的密码。您应该将密码与长的盐一起进行哈希处理和加密随机。如果可能的话，您还应该帮助您的用户选择更强的密码或密码短语。时间越长越好。

Answer 2

好问题！ 此页面值得一读。特别是，作者声称 MD5 不适合哈希密码：

问题是 MD5 速度很快。它的现代竞争对手也是如此，例如 SHA1 和 SHA256。速度是现代安全哈希的设计目标，因为哈希是几乎每个密码系统的构建块，并且通常按每个数据包或每个消息按需执行。

速度正是您在密码哈希函数中不想要的。

本文随后解释了一些替代方案，并推荐Bcrypt 作为“正确的选择”（他的话，不是我的）。

免责声明：我根本没有尝试过 Bcrypt。将此视为友好的建议，但我不能用自己的技术经验来支持。

Answer 3

为了提高密码强度，您应该使用更多种类的符号。如果密码中有 8-10 个字符，那么破解就变得非常困难。尽管使其更长会使其更安全，但前提是您使用数字/字母/其他字符。

SHA1 是另一种散列（单向加密）算法，它速度较慢，但​​摘要较长。 （编码消息）（160 位），其中 MD5 只有 128 位。

那么SHA2就更加安全了，但是用的比较少。

Answer 4

对密码加盐始终是额外的防御级别

$salt = 'asfasdfasdf0a8sdflkjasdfapsdufp';
$hashed = md5( $userPassword . $salt );

Answer 5

看到计算机变得越来越快，数学家仍在开发这些算法

RSA 加密是安全的，因为它依赖于很难分解的非常大的数字。最终，计算机将变得足够快，能够在合理的时间内分解出数字。为了保持领先地位，您需要使用更大的数字。

然而，对于大多数网站来说，散列密码的目的是让有权访问数据库的人读取密码不方便，而不是提供安全性。为此，MD5 就可以¹。

这里的含义是，如果恶意用户获得对整个数据库的访问权限，他们就不需要密码。 （前门上的锁不会阻止我从窗户进来。）

---

¹ 仅仅因为 MD5 被“损坏”并不意味着您可以随时反转它。

Answer 6

除了是一种加密安全的单向函数之外，用于密码保护的良好散列函数应该难以暴力破解 - 即设计缓慢。 scrypt 是该领域最好的之一。从主页：

我们估计，在现代（2009）硬件上，如果花费 5 秒计算派生密钥，针对 scrypt 的硬件暴力攻击的成本大约是针对 bcrypt 的类似攻击成本的 4000 倍（找到相同的密码），比针对 PBKDF2 的类似攻击高 20000 倍。

也就是说，从常用的哈希函数来看，对 SHA 系列中的任何内容进行数千次迭代对于非关键密码来说是相当合理的保护。

另外，请始终添加盐，以使其无法一次分担暴力破解多个哈希的工作量。

Answer 7

NIST 目前正在举办一场竞赛，以选择新的哈希算法，就像他们选择 AES 加密算法一样。因此，这个问题的答案几年后可能会有所不同。

您可以查找提交的内容并自行研究，看看是否有您想要使用的内容。