md5 和 sha256 均不适合直接用于密码存储,因为 md5 已被破解且不安全,sha256 虽更安全但仍非专为密码设计。1. md5 输出 128 位哈希值,速度快但存在碰撞漏洞,易受彩虹表攻击;sha256 输出 256 位哈希值,目前无有效碰撞攻击,但运算速度过快仍易遭暴力破解。2. 密码存储仅靠这些算法存在风险:缺乏加盐机制会导致相同密码生成相同哈希,高速运算便于攻击者暴力破解。3. 正确做法是使用 bcrypt、scrypt 或 argon2 等专用密码哈希算法,具备自动加盐、可调复杂度、抗内存攻击等特性。4. 若坚持使用 sha256,应加盐、多轮哈希并结合 hmac 等机制,但仍不如现代密码算法安全。
在密码存储这类安全敏感场景中,MD5 和 SHA256 是两个常被提及的加密函数。但它们并不是专为密码设计的哈希算法,尤其 MD5 已经不再推荐用于任何安全性要求较高的用途。简单来说:MD5 更快但更不安全,SHA256 更安全但依然不是最佳选择。
1. 算法原理与安全性差异
MD5 和 SHA256 都属于哈希算法(Hash Algorithm),作用是将任意长度的数据转换成固定长度的摘要值。但它们在结构和安全性上差别很大:
- MD5 输出的是一个128位(16字节)的哈希值,速度较快,但已被证明存在严重的碰撞漏洞(即不同输入可能产生相同输出),容易受到彩虹表攻击。
- SHA256 输出的是256位(32字节)的哈希值,目前尚未发现有效的碰撞攻击方式,安全性远高于 MD5。
由于这些特性,MD5 不适合用于密码存储,而 SHA256 虽然相对安全,但也不是专门为此设计的。
2. 密码存储为何不能只靠 MD5 或 SHA256?
很多人误以为只要对密码做一次哈希处理就可以安全存储了,其实不然。以下是几个常见问题:
- ? 缺乏加盐机制(Salt):如果不加盐,相同的密码会生成相同的哈希值,攻击者可以通过预计算的彩虹表快速破解。
- ⚡ 运算速度快:像 MD5 和 SHA256 这类算法本来是为了高效处理数据而设计的,这反而成了攻击者的便利工具——他们可以每秒尝试数百万次猜测。
- ? 无法抵御暴力破解:即使加了盐,如果使用普通哈希函数,攻击者仍可通过高性能硬件进行暴力破解。
因此,仅使用 MD5 或 SHA256 存储密码并不安全,尤其是在没有额外保护机制的情况下。
3. 正确做法:用专用密码哈希算法
如果你是在开发系统时需要处理用户密码,建议使用专门为密码设计的哈希函数:
- bcrypt
- scrypt
- Argon2
这些算法具备以下优点:
- 自动加盐
- 可调节计算复杂度,防止暴力破解
- 抗内存攻击(尤其是 scrypt 和 Argon2)
例如,php 中可以用 password_hash() 函数,默认就是使用 bcrypt,调用起来非常方便:
$hash = password_hash($password, PASSWORD_DEFAULT);
而在 python 中,可以使用 bcrypt 或 passlib 库实现类似功能。
4. 如果非要用 SHA256 怎么办?
虽然不推荐,但在某些特定场景下你可能还是想使用 SHA256。这时候至少要做到:
- ✅ 加盐(salt),每个用户的 salt 不同,并保存到数据库中
- ✅ 多轮哈希(比如重复哈希几千次)
- ✅ 使用 HMAC 等机制增强安全性
示例伪代码如下:
hash = sha256(password + salt) for i in 1..5000: hash = sha256(hash + password)
这种方式虽然比原始 SHA256 安全一些,但依然不如 bcrypt、Argon2 这类现代密码哈希机制。
总的来说,MD5 已被淘汰,SHA256 虽可用但不够专业。对于密码存储这种关键场景,应该优先考虑使用 bcrypt、scrypt 或 Argon2。基本上就这些。
