早在2010年城舞，美國軟件工程學(xué)會(SEI)就認(rèn)為MD5算法已被破解钧唐，不再適用忙灼。
"cryptographically broken and unsuitable for further use"
考慮到國內(nèi)依舊在廣泛使用MD5算法于安全領(lǐng)域，寫此為钝侠，希望引起大家對安全的重視该园。

MD5函數(shù)過去通常用于數(shù)據(jù)的完整性校驗(yàn)和用戶密碼的加密保存。

一 數(shù)據(jù)完整性校驗(yàn)

常見的應(yīng)用是

1. 軟件完整性帅韧。通常軟件簽名不會對整個軟件簽名里初，而是對軟件的HASH值簽名。
   微軟早期的應(yīng)用軟件簽名就是使用的md5算法弱匪，還有人們在網(wǎng)絡(luò)上下載軟件青瀑，為確保軟件沒被修改，常常使用MD5值做校驗(yàn)完整性萧诫。
2. 開放API,　為了防止用戶修改API請求的參數(shù)斥难，API提供商常常使用ＭＤ５值校驗(yàn)請求的完整性。
   以上應(yīng)用都是建立在MD5 函數(shù)不碰撞的基礎(chǔ)上帘饶，而這個基礎(chǔ)已不可靠哑诊，因?yàn)闃?gòu)造一個MD5碰撞已不難
   2005年山東大學(xué)的王小云教授發(fā)布算法可以輕易構(gòu)造ＭＤ５碰撞實(shí)例，此后2007年及刻，有國外學(xué)者在王小云教授算法的基礎(chǔ)上镀裤，提出了更進(jìn)一步的MD5前綴碰撞構(gòu)造算法“chosen prefix collision”，此后還有專家提供了MD5碰撞構(gòu)造的開源的庫缴饭。
   所以MD5碰撞很容易構(gòu)造暑劝，基于MD5來驗(yàn)證數(shù)據(jù)完整性已不可靠，考慮到近期谷歌已成功構(gòu)造了SHA1的碰撞實(shí)例颗搂，對于數(shù)據(jù)完整性担猛，應(yīng)使用SHA256或更強(qiáng)的算法代替。
   以下是簡單的MD5碰撞實(shí)例:

<?php

//md5 碰撞示范，數(shù)據(jù)不同傅联，md5值一樣

$a = <<< EOT
d131dd02c5e6eec4693d9a0698aff95c
2fcab58712467eab4004583eb8fb7f89
55ad340609f4b30283e488832571415a
085125e8f7cdc99fd91dbdf280373c5b
d8823e3156348f5bae6dacd436c919c6
dd53e2b487da03fd02396306d248cda0
e99f33420f577ee8ce54b67080a80d1e
c69821bcb6a8839396f9652b6ff72a70
EOT;

$b = <<< EOT
d131dd02c5e6eec4693d9a0698aff95c
2fcab50712467eab4004583eb8fb7f89
55ad340609f4b30283e4888325f1415a
085125e8f7cdc99fd91dbd7280373c5b
d8823e3156348f5bae6dacd436c919c6
dd53e23487da03fd02396306d248cda0
e99f33420f577ee8ce54b67080280d1e
c69821bcb6a8839396f965ab6ff72a70
EOT;


$a = str_replace("\n","",$a);
$a = hex2bin($a);

$b = str_replace("\n","",$b);
$b = hex2bin($b);

assert($a !=$b);

echo md5($a);
echo "\n";
echo md5($b);
echo "\n";

二 用戶密碼加密保存

用戶的登錄密碼先改，是很重要的一個安全環(huán)節(jié)。
如果明文保存在數(shù)據(jù)庫蒸走，一旦黑客入侵或是內(nèi)部員工盜竊仇奶，用戶密碼就會泄漏。
國內(nèi)外大網(wǎng)站都發(fā)生過因黑客或是內(nèi)部員工導(dǎo)致用戶數(shù)據(jù)的泄漏問題比驻，用戶密碼一旦泄漏對于電商網(wǎng)站或是支付網(wǎng)站的影響是難于估量的该溯。

為了保護(hù)用戶密碼，早期人們使用MD5算法把密碼加密后保存别惦，通常計(jì)算MD5值時(shí)會加一個”鹽值“(即一個固定的密串),這個鹽值可能是共用的朗伶，也可能是一個用戶一個鹽值。

MD5(密碼+鹽值)步咪，這樣形式的密碼儲存方案在早期基本上是密碼存儲的一個通行標(biāo)準(zhǔn)，國內(nèi)多數(shù)網(wǎng)站（包括大型電商和支付網(wǎng)站）早期都采用的是這個辦法益楼，如果沒有更新的話猾漫，現(xiàn)在很多網(wǎng)站依舊是這個方案。

這樣的方案什么不對感凤？
1,對于黑客入侵或是內(nèi)部員工悯周，能拿到用戶數(shù)據(jù)的人，很容易就拿到鹽值
2,雖然黑客不能反解密碼陪竿，密碼通常有一定的規(guī)則禽翼，諸如大小寫數(shù)字六位數(shù)以上等，黑客可通過排列組合一個一個的試族跛，暴力破解闰挡，因?yàn)镸D5值的計(jì)算速度很快，對于六位數(shù)密碼礁哄，很容易攻克长酗。
注意：這個暴力破解是離線運(yùn)行的，在線的暴力破解很容易阻擋桐绒。
被攻擊的網(wǎng)站沒有感覺夺脾，如果用比特幣挖礦的礦機(jī)，這樣的破解輕而易舉茉继，沒挑戰(zhàn)咧叭。

你會說，MD5不行烁竭，SHA1也被谷歌破解了菲茬，SHA256 密碼加鹽值這樣可靠了吧？
SHA256 密碼加鹽值也不安全。
因?yàn)樯琈D5听想，SHA1，SHA256就不是用來保存密碼用的马胧， 是用來校驗(yàn)數(shù)據(jù)完整性用的汉买，三個算法的計(jì)算速度都很快，試想一下佩脊，校驗(yàn)一個4G的ISO鏡像文件蛙粘，必須要有高效的計(jì)算速度。

因?yàn)樗惴ㄐ矢咄茫俣瓤斐瞿粒簿徒档土吮┝ζ平獾碾y度。

正確的做法是使用bcrypt算法歇盼，bcrypt算法的優(yōu)點(diǎn)是計(jì)算速度慢舔痕，沒錯計(jì)算速度慢，
還可以通過參數(shù)調(diào)節(jié)速度豹缀，要多慢有多慢伯复。

<?php

$options  =  ["cost" => 10 ]; //調(diào)速參數(shù)，越大越慢
$password = "password here";
$hash = password_hash($password, PASSWORD_BCRYPT, $options);
echo "$hash\n";

// 校驗(yàn)
assert(password_verify($password,$hash) == true);

普通的電腦每秒可運(yùn)行數(shù)萬次SHA256計(jì)算邢笙，bcypt算法通過參數(shù)設(shè)置可以調(diào)整為計(jì)算一次耗時(shí)1秒啸如。
這樣大幅提高了暴力破解的門檻，增強(qiáng)了安全性氮惯。

這里有個比特幣礦機(jī)配置叮雳，供參考， 以便提高安全意識：
型號：HashFast Sierra Batch 2
價(jià)格：7080美元
功率： 780瓦
性能： 1200 GH/s (每秒可運(yùn)行1.2萬億次SHA256計(jì)算)