Python工具箱系列(十七)

很多軟體工程師都認為MD5是一種加密演算法，然而這種觀點是不對的。作為一個 1992 年第一次被公開的演算法，到今天為止已經被髮現了一些致命的漏洞。本文討論MD5在密碼保存方面的一些問題。

假設下麵一個場景：

• 軟體產品讓用戶輸入用戶名與口令，隨即使用MD5演算法將口令（明文）轉變成為摘要值。

• 用戶登錄時，用戶輸入的口令，也使用MD5進行計算，然後與存儲的MD5進行比較，如果相同，則用戶成功登錄。

• 由於沒有存儲口令的原始值，所以即使相關人員（工程師、運維人員、黑客）獲得了口令的MD5值，根據演算法的特性，也無法知道原始的口令內容。

• 正是演算法的不可逆性，因為口令只能夠重新生成，而系統無法反饋原始的口令是什麼。

以上場景是非常完美的。但是由於人類的弱點，大部分人會選擇非常簡單易記，或者有特殊意義的字元串做為口令。攻擊者只需要將一些常見密碼提前計算一下哈希就可以找到資料庫中很多用於存儲的密碼，Wikipedia 上有一份關於最常見密碼的列表，在2016年的統計中發現使用情況最多的前25個密碼占了調查總數的10%，雖然這不能排除統計本身的不准確因素，但是也足以說明僅僅使用哈希的方式存儲密碼是不夠安全的。提前計算的HASH表稱為彩虹表，存儲著一些常見密碼的哈希，當攻擊者通過入侵拿到某些網站的資料庫之後就可以通過預計算表中存儲的映射來查找原始密碼如下圖所示。

為了抵抗上述的暴力方法，可以使用md5加鹽的策略，進一步強化md5暴力破解的難度。在上世紀70到80年代，早期版本的Unix系統就在/etc/passwrd中存儲加鹽的哈希密碼，密碼加鹽後的哈希與鹽會被一起存儲在/etc/passwd文件中，今天哈希加鹽的策略與幾十年前的也沒有太多的不同，差異可能在於鹽的生成和選擇。一個示範性質的代碼如下所示。

from random import Random
from hashlib import md5

# 獲取由4位隨機大小寫字母、數字組成的salt值
def create_salt(length=4):
    salt = ''
    chars = 'AaBbCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz0123456789&#39'
    len_chars = len(chars) - 1
    random = Random()
    for i in range(length):
        # 每次從chars中隨機取一位
        salt += chars[random.randint(0, len_chars)]
    return salt

# 獲取原始密碼+SALT，計算返回MD5值
def create_md5(pwd, salt):
    md5_obj = md5()
    inputstr = pwd+salt
    md5_obj.update(inputstr.encode(encoding='utf-8'))
    return md5_obj.hexdigest()

pwd = '123456'
salt = create_salt()
finalmd5 = create_md5(pwd,salt)
print(f'pwd:{pwd},salt:{salt},md5:{finalmd5}')

執行後的效果如下所示:

pwd:123456,salt:lhDy,md5:e7a2a020e5738dc9cc7822ca11b6fdf7

在實際使用時，需要保存salt的值與計算結果。加鹽的方式主要還是為了增加攻擊者的計算成本，當攻擊者順利拿到資料庫中的數據時，由於每個密碼都使用了隨機的鹽進行哈希，所以預先計算的彩虹表就沒有辦法立刻破譯出哈希之前的原始數據，攻擊者對每一個哈希都需要單獨進行計算，這樣能夠增加了攻擊者的成本，減少原始密碼被大範圍破譯的可能性。但這個貌似完美的策略還是被髮現存在問題。因為一個哈希函數或者摘要演算法被找到哈希碰撞的概率決定了該演算法的安全性，早在幾十年前，人們就在MD5的設計中發現了缺陷並且在隨後的發展中找到了低成本快速製造哈希碰撞的方法：

• 1996年《The Status of MD5 After a Recent Attack》——發現了MD5設計中的缺陷，但是並沒有被認為是致命的缺點，密碼學專家開始推薦使用其他的摘要演算法；

• 2004年《How to Break MD5 and Other Hash Functions》——發現了MD5摘要演算法不能抵抗哈希碰撞，我們不能在數字安全領域使用MD5演算法；

• 2006年《A Study of the MD5 Attacks: Insights and Improvements》——創建一組具有相同MD5摘要的文件；

• 2008年《MD5 considered harmful today》——創建偽造的SSL證書；

• 2010年《MD5 vulnerable to collision attacks》——CMU軟體工程機構認為MD5摘要演算法已經在密碼學上被破譯並且不適合使用;

• 2012年《Flame》——惡意軟體利用了MD5的漏洞並偽造了微軟的數字簽名

總結一下，之所以基於MD5的密碼保存與對比策略不安全是因為：

• 實際應用的大量口令本身很簡單;

• MD5計算起來非常快，攻擊者今天可以通過 GPU 每秒執行上億次的計算來破解用戶的密碼；

• 演算法自身的缺陷。