MD5的全称是Message-Digest Algorithm 5(信息-摘要算法),在90年代初由MIT Laboratory for Computer Science和RSA Data Security Inc的Ronald L. Rivest开发出来,经MD2、MD3和MD4发展而来。——百度百科
使用MD5算法对密码进行加密是目前常用的做法,但是随着MD5的使用时间越来越久,我们可以通过暴露出来的MD5碰撞出原来的密码。
Photo by Kari Shea on Unsplash
123456进行MD5加密之后,得到:e10adc3949ba59abbe56e057f20f883e,当下一次我们看到e10adc3949ba59abbe56e057f20f883e之后就知道密码是123456。
目前有很多网站都提供MD5的碰撞服务
例如:cmd5
他通过暴露出来的MD5对密码进行破解,所以这里我们还需要对密码进行"加盐"操作,其原理是在密码中前或后加入随机数,使得碰撞出来的密码并只有一部分是真实的密码,从而增加了破解的成本。
这里从网上找了MD5加盐的Java代码
import java.security.MessageDigest;
import java.util.Random;
import org.apache.commons.codec.binary.Hex;
public class PasswordUtil {
/**
* 生成含有随机盐的密码
*/
public static String generate(String password) {
Random r = new Random();
StringBuilder sb = new StringBuilder(16);
sb.append(r.nextInt(99999999)).append(r.nextInt(99999999));
int len = sb.length();
if (len < 16) {
for (int i = 0; i < 16 - len; i++) {
sb.append("0");
}
}
String salt = sb.toString();
password = md5Hex(password + salt);
char[] cs = new char[48];
for (int i = 0; i < 48; i += 3) {
cs[i] = password.charAt(i / 3 * 2);
char c = salt.charAt(i / 3);
cs[i + 1] = c;
cs[i + 2] = password.charAt(i / 3 * 2 + 1);
}
return new String(cs);
}
/**
* 校验密码是否正确
*/
public static boolean verify(String password, String md5) {
char[] cs1 = new char[32];
char[] cs2 = new char[16];
for (int i = 0; i < 48; i += 3) {
cs1[i / 3 * 2] = md5.charAt(i);
cs1[i / 3 * 2 + 1] = md5.charAt(i + 2);
cs2[i / 3] = md5.charAt(i + 1);
}
String salt = new String(cs2);
return md5Hex(password + salt).equals(new String(cs1));
}
/**
* 获取十六进制字符串形式的MD5摘要
*/
public static String md5Hex(String src) {
try {
MessageDigest md5 = MessageDigest.getInstance("MD5");
byte[] bs = md5.digest(src.getBytes());
return new String(new Hex().encode(bs));
} catch (Exception e) {
return null;
}
}
public static void main(String[] args) {
String password = generate("admin");
System.out.println(verify("admin", password));
}
}