Az MD5-öt ma is hash függvényként használják, annak ellenére, hogy évek óta használják. Ebben a cikkben megvitatjuk, mi az MD5 és hogyan használják ma.
Támogatja-e a tartalomkezelő rendszere az MD5-ös kivonatolási sémát a jelszavak biztonságossá tételében és tárolásában? Ideje ellenőrizni!
ZDNet jelentése szerint a fő CMS rendszerek több mint 25 százaléka a régi és elavult MD5 hash sémát használja alapértelmezettként a felhasználói jelszavak biztonságossá tételéhez és tárolásához. Hacsak a felhasználók nem módosítják az alapértelmezett beállításokat a CMS forráskódjának módosításával, a CMS rendszeren futó bármely webhely veszélybe sodorja a felhasználói jelszavakat, ha egy hacker feltöri a webhely adatbázisát.
Kezdetben 1991-ben, kriptográfus és Ronald Rivest, az MIT professzora hozta létre, az MD5 technikailag Message-Digest Algorithm néven ismert. Hash függvényként az MD5 egy adatkészletet rögzített méretű bitsorozatba képez, amelyet hash értéknek hívnak. A hash függvények összetettsége és nehézsége változó, emellett a kriptopénz, a jelszó és az üzenetek biztonsága szolgál.
Az MD2 és MD4 nyomdokaiba lépve az MD5 128 bites kivonatolási értéket állít elő. Fő célja annak ellenőrzése, hogy a fájl változatlan-e. Ahelyett, hogy a nyers adatok összehasonlításával megerősítené, hogy két adatsor megegyezik, az MD5 ezt úgy teszi, hogy mindkét halmazra ellenőrző összeget állít elő, majd összehasonlítja az ellenőrző összegeket annak igazolására, hogy ugyanazok-e.
Az MD5-t kihasználó történelmi sérelmek
Az MD5 gyengeségeit kihasználták a területen. Az egyik leghírhedtebb eseményre több évvel ezelőtt került sor a Flame kártevő programmal, amely a világ számos legnagyobb vállalatát érintette. Az eWeek szerint az MD5 hash funkció ismert gyengesége lehetővé tette a Flame kártevő mögött álló fenyegetett szereplők csoportjának, hogy érvényes tanúsítványt hamisítson a Microsoft Windows Update szolgáltatásához.
A lehetséges károk igazolása érdekében a Venafi, egy igazolást kezelő cég 450 vállalatot vizsgált át abban az időben a Global 2000-ben. Megállapították, hogy mindegyikhez MD5 tanúsítvány társult a hálózathoz. A szerverek, kódok és VPN-hozzáférések aláírásához használt tanúsítványok több mint 17 százaléka továbbra is az MD5 algoritmust használta.
Minden idők két legnagyobb adatmegsértése az MD5-öt is érintette. 2013-ban kiderült, hogy állítólag a Badoo közösségi weboldalról származó adatsértést terjesztették. A jogsértés 112 millió egyedi e-mail címet és személyes információt tartalmazott, mint például az MD5 kivonatként tárolt neveket, születési dátumokat és jelszavakat. 2016-ban pedig a Youku kínai videoszolgáltatás 92 millió egyedi felhasználói fiókot és MD5 jelszó-kivonatot tárt fel.
A közelmúltban az InfoSecurity Magazine tavaly arról számolt be, hogy az EpicBot botszolgáltató 817 000 RuneScape előfizetőjéhez tartozó adatokat ugyanazon a hackerfórumokon töltötték fel a cég korábbi megsértése miatt. A megsértett részletek között szerepelt a felhasználónevek, az e-mail és az IP címek, valamint a sózott MD5 vagy bcrypt hash-ként tárolt jelszavak.
Érvényes felhasználások az MD5 maradványhoz
Bár titkosítási funkcióként lett megtervezve, az MD5 kiterjedt sebezhetőségekben szenved, ezért szeretne távol maradni tőle, amikor CMS-jét, webes keretrendszerét és más rendszereket kell védeni, amelyek jelszavakat használnak a hozzáférés megadásához. Ennek egyik oka az, hogy számítási szempontból kivitelezhetetlennek kell lennie két különálló üzenet megtalálásának, amelyek azonos értékű hash-t tartalmaznak. De az MD5 nem teljesíti ezt a követelményt - ilyen ütközések másodpercek alatt megtalálhatók.
A fent leírtakhoz hasonló jogsértések ellenére az MD5 továbbra is használható szabványos fájlellenőrzésre és ellenőrző összegként az adatok integritásának ellenőrzésére, de csak a nem szándékos sérülések ellen. Más nem kriptográfiai célokra is alkalmas marad, például egy partíciós adatbázisban egy adott kulcs partíciójának meghatározásához.
Még mindig jó ötlet maradni
Az évek során, amikor az MD5 széles körben elterjedt, de sebezhetőnek bizonyult, megjelent az MD6 hash algoritmus. De az MD6 viszonylag kihasználatlanul maradt, és homályba merült, talán az embereknek az MD5-kel kapcsolatos kétségei miatt. Az elmúlt években megjelent, ingyenes letöltésként elérhető alternatívák közé tartoznak az olyan rendkívül összetett rendszerek, mint az SHA-2 és az SHA-3, valamint a BCRYPT, SCRYPT, Argon2, CABHA, WHIRLPOOL és RIPEMD-160.
Ha azon gondolkodik, hogy mekkora valószínűséggel támad támadás az egyik rendszere ellen, fontos megjegyezni, hogy még az MD5 esetében is nagy az ön esélye. Hash-támadás csak akkor fordulhat elő, ha két külön bemenet ugyanazt a kivonatot generálja. De mivel a hash függvényeknek végtelen bemeneti hossza és előre meghatározott kimeneti hossza van, ritkán fordul elő ütközés. Minél hosszabb a hash érték, annál kevesebb lesz a hash támadás lehetősége.
De amint a Carnegie Mellon Egyetem Szoftvertechnikai Intézetének mérnökei figyelmeztetnek, a szoftverfejlesztőknek, a tanúsító hatóságoknak és a webhelyek tulajdonosainak mind kerülniük kell az MD5 algoritmus bármilyen használatát. Ahogy a korábbi kutatások bebizonyították, "kriptográfiailag töröttnek és további felhasználásra alkalmatlannak kell tekinteni".
Az is világos, hogy a kiberbűnözők továbbra is gyorsan támadásokat fognak végrehajtani minden olyan rendszer ellen, amelyre rábukkannak, és amelyek MD5-t használnak. A megszakadt kriptográfiai kivonatoló algoritmus folyamatos használata veszélyeztetheti vállalatát - ezt nem érdemes vállalni.
Seo Help csapat
A seo help oldal a technikai seo -val és az azt segítő eszközökkel foglalkozik. Egyedi és jól megírt eszközöket biztosítunk webmestereknek, hogy keresöoptimalizálásukat egyszerűbbé tegyük. Továbbá próbálunk egyéb információkkal segíteni munkájukat, blogunk segítségével. Amennyiben hozzá tudna járulni az oldalunk fejlődéséhez, kérjük vegye fel velünk a kapcsolatot.