MD5，SHA1 都是哈希 摘要算法 MD5+SALT BCRYPT

为什么说 MD5 是不可逆的？

md5是摘要算法，你学数据结构的时候学过哈希表吧？也有叫散列的。md5就是干那个用的

当然，如果硬要说的话。。。你可以用md5 hash一段字符串，也算是加密好了，不过你解不出来。。。。

1+6=7，但是给你个7你能知道这是几跟几加得的吗？

如果有人坚持认为MD5算法是可逆的，请不妨设想一下将MD5算法应用到文件压缩方面，那岂不是又出现了一种超级压缩技术了。。好几个G大小的文件都能压缩成一串MD5，反正"可以求逆"也就是解压缩(如果应用于压缩技术，算法就是公开的了，也不用费劲去破解了)。可惜这个显然是不可能的，哈哈哈哈

作者：李豆子
链接：http://www.zhihu.com/question/22651987/answer/23110721
来源：知乎
MD5+SALT  BCRYPT

作者：余天升
链接：http://www.zhihu.com/question/21668719/answer/18937470
来源：知乎
著作权归作者所有，转载请联系作者获得授权。

生成一个随机数，我们称之为salt，然后在数据库中记录salt和h=hash(pwd + salt)，查询的时候，得到用户的口令p，然后从数据库中查出salt，计算hash(p+salt)，看是不是等于h，等于就是对的，不等于就是不对的。

单纯使用MD5之所以不好，并不是说MD5这种方法容易遭到破解，而事实上对于MD5求原象或者第二原象，也就是“逆计算”这种破解，没有什么很好的方法。只能通过预先计算知道许多MD5的对应关系，存在数据库中，然后使用的时候反查，例如我知道'password'的MD5值是5f4dcc3b5aa765d61d8327deb882cf99，那么我就用一个数据库存起来，只要我看到5f4dcc3b5aa765d61d8327deb882cf99，我就知道这个是口令'password‘使用MD5处理之后的值，原来的口令就是'password'。MD5在身份鉴别系统中用于口令保护已经是很久了事情了，大部分黑客也有针对这种Hash方式准备相应的数据库进行反查，这种数据库称为彩虹表。

所以，为了对抗彩虹表，我们要做的工作是避免预先计算，让攻击者无法（或者非常困难）提前计算好彩虹表。

为了反映为何彩虹表计算是可行的，我们再来算一下。我们假设用户可能输入的口令是键盘上的小写字母和数字，共26+10=36种，之所以这样假设是因为 一个用户比较多的系统中总是会有一些弱口令用户的，我们假设输入的口令至少5个字符，至多12个字符，那么用户可能的输入一共有：
，而12个字节可能的组合应有
种。如果再考虑到用户为了方便记忆，输入的口令是一些已经存在的单词或是词组，可能的输入将会远远少于。用户可能的输入少了，就给了我们枚举的空间。

为了阻止这种枚举，加salt的方法是扩大用户输入的一种简单有效的途径，随机生成一个16字节的随机数，加上用户本身输入的至多12个字符的口令，可能的输入就有种，这么多种可能性，任何一个机构和组织都没有办法存储规模如此庞大的彩虹表。

另外一种方法是通过提升Hash的复杂度，延长攻击者进行暴力破解时所消耗的时间。现在显卡用于并行计算实在太容易，6位纯数字的口令在显卡看来就是秒破。Hash算法的多次迭代就是最简单的延长计算时间的方法，Apache的htpasswd就使用了MD5的1000次迭代，不过只是使得这些口令稍微难破解一些。

另外，题中使用了SHA1和MD5两种算法的方法，除了稍微提升一点计算的难度以外，并没有多好，这种组合方法不能增加用户输入的可能性，另外虽然SHA1生成的是160位的Hash，但是由于输入是一个128位的MD5，所以输出也至多只可能有种可能，猜测的范围也没有缩小。所以这是原来回答我建议你使用更多次数（如1000次）MD5迭代的原因，至少应当有一个方面有稍微大一些的加强。

另外此文（暴力密码破解器 ocl-Hashcat-plus 支持每秒猜测最多 80 亿个密码，意味着什么？）中有数据可以供参考，bcrypt是一种有效对抗口令Hash破解的算法，建议使用。