Security 有可能解密SHA1吗
是否可以使用Security 有可能解密SHA1吗,security,spring-security,sha1,sha,Security,Spring Security,Sha1,Sha,是否可以使用SHA1算法解密(保留实际字符串)保存在db中的密码 示例:如果密码是“password”,并且它存储在数据库中为“sha1$4fb4c$2BC693F8A86E2D87F7C382A32E3D50FC945B24”,则有机会保留“sha1$4fb4c$2BC693F8A86E2D87F7C382A32E3D50FC945B24”中相同的“password”(字符串),sha1是单向散列。因此,您无法真正还原它 这就是为什么应用程序使用它来存储密码的散列,而不是密码本身 与每个散列函
SHA1
算法解密(保留实际字符串)保存在db中的密码
示例:如果密码是
“password”
,并且它存储在数据库中为“sha1$4fb4c$2BC693F8A86E2D87F7C382A32E3D50FC945B24”
,则有机会保留“sha1$4fb4c$2BC693F8A86E2D87F7C382A32E3D50FC945B24”中相同的“password”(字符串)
,sha1是单向散列。因此,您无法真正还原它
这就是为什么应用程序使用它来存储密码的散列,而不是密码本身
与每个散列函数一样,SHA-1将一个较大的输入集(键)映射到一个较小的目标集(散列值)。因此,可能发生碰撞。这意味着输入集的两个值映射到相同的哈希值
显然,当目标集变小时,碰撞概率增加。但反之亦然,这也意味着当目标集变大且SHA-1的目标集为160位时,碰撞概率降低
杰夫·普雷辛(Jeff Preshing)写了一篇很好的博客,可以帮助您决定使用哪种哈希算法。谢谢你,杰夫
在他的博客中,他展示了一个表格,告诉我们给定输入集的冲突概率
如您所见,如果您有77163个输入值,则32位哈希的概率为1/2
一个简单的java程序将向我们展示他的表格所显示的内容:
public class Main {
public static void main(String[] args) {
char[] inputValue = new char[10];
Map<Integer, String> hashValues = new HashMap<Integer, String>();
int collisionCount = 0;
for (int i = 0; i < 77163; i++) {
String asString = nextValue(inputValue);
int hashCode = asString.hashCode();
String collisionString = hashValues.put(hashCode, asString);
if (collisionString != null) {
collisionCount++;
System.out.println("Collision: " + asString + " <-> " + collisionString);
}
}
System.out.println("Collision count: " + collisionCount);
}
private static String nextValue(char[] inputValue) {
nextValue(inputValue, 0);
int endIndex = 0;
for (int i = 0; i < inputValue.length; i++) {
if (inputValue[i] == 0) {
endIndex = i;
break;
}
}
return new String(inputValue, 0, endIndex);
}
private static void nextValue(char[] inputValue, int index) {
boolean increaseNextIndex = inputValue[index] == 'z';
if (inputValue[index] == 0 || increaseNextIndex) {
inputValue[index] = 'A';
} else {
inputValue[index] += 1;
}
if (increaseNextIndex) {
nextValue(inputValue, index + 1);
}
}
}
我的输出是
86390
86390
结论:
如果您有一个SHA-1值,并且您希望恢复输入值,则可以尝试暴力攻击。这意味着您必须生成所有可能的输入值,对它们进行散列,并将它们与您拥有的SHA-1进行比较。但这将消耗大量的时间和计算能力。有些人为一些输入集创建了所谓的彩虹表。但这些只存在于一些小的输入集
请记住,许多输入值映射到单个目标哈希值。因此,即使您知道所有映射(这是不可能的,因为输入集是无界的),您仍然无法说出它是哪个输入值。SHA1
是一个加密哈希函数,因此设计的目的是避免您尝试执行的操作
但是,从技术上讲,破坏SHA1
散列是可能的。您可以通过猜测散列的内容来实现。这种暴力手段当然不是有效的,但这几乎是唯一的办法
所以要回答你的问题:是的,这是可能的,但你需要强大的计算能力。一些研究人员估计
就我们今天所知,除了猜测散列输入之外,没有其他方法。这是因为mod
等操作会从输入中删除信息。假设您计算mod 5
,得到0
。输入是什么?是0
、5
还是500
?你看,在这种情况下,你不可能真正“回到”过去。由于SHA-1将多个字节序列映射到一个字节序列,你不能“解密”散列,但理论上你可以找到冲突:具有相同散列的字符串
现在看来,破解一个散列需要花费大约相当于计算机时间的时间,所以你的努力可能最好花在其他地方。你说得很对。但也有很多网站为sha1提供解密功能。这一点很好。因此,如果要进行反向哈希查找,并非所有内容都会丢失:),但这是一个不同的原则。该服务获取一些文件,计算散列并将其存储在数据库中。因此,您可以进行反向查找。但是,这些服务不会解密SHA-1哈希。因此,如果您输入了该数据库不知道的哈希值,则不会得到结果。在我看来,这个问题的目的是要求一个算法来有效地解密任意散列。这是不可能的(据我们所知)。通过使其成为一个开放的存储库(而不是一个人的努力),您可以从中获得更大的解密密码池。出于这个原因,通常最好在加密例程中添加一个复杂的种子;因此,确保明显的用户密码和复杂的密码一样难以破解。现在的密码大约为7.5万到12万美元,因此根据所涉及数据的重要性,价格可以承受得起。:-)数据已经是复数形式,@Slake,所以数据毫无意义。事实上,单数词是datum(来自拉丁语),尽管数据也变得可以接受单数。
System.out.println("VvV".hashCode());
System.out.println("WWV".hashCode());
86390
86390