好像在发帖中留`md5(手机号)`作为自己的联系方式也不是不行嘛😁

挖坟鞭尸警告!(无意冒犯)

观/t/937283有感, 帖中 OP 留了个md5(微信 ID)作为联系方式, 遭到了大家的嘲讽.

本来我也只是当乐子看的嘛, 但是当我看到这么一篇更陈年的老帖的时候, 忽然意识到这个事情并不是那么的可笑.

如果我们限定md5sum是特定格式的数据产生, 以现代计算机的运算能力, 是可以控制在一个很短的时间内碰撞出原始数据的. 包括但不限于 QQ/手机号/短且简单的微信 ID, 以及前述数据拼接出来的邮箱地址, 等等.

比如, 我们限定一种最简单的联系方式: 手机号

我测试了两个 sample:

手机号 19216832109
/t/937283中 OP 所留的 md5sum

使用hashcat进行掩码爆破: hashcat -m 0 -a 3 $hash 1?d?d?d?d?d?d?d?d?d?d

测试机 A 是我的上古游戏本, Intel 7920HQ + GTX 1070(CUDA 加速)

测试机 B 是前年买的小新笔记本, AMD 5800H (核心显卡)

测试机 A 可以在 2 秒内跑完所有的碰撞用例, 仅需 1 秒即可碰撞出手机号: 19216832109

测试机 B 可以在 6 秒内跑完所有的碰撞用例, 仅需 4 秒即可碰撞出手机号: 19216832109

从上述结果来看, 留一个md5sum作为自己的联系方式其实是有可取之处的嘛.🫢

bjzhush

2023-07-09 11:25:10 +08:00

技术上可行并不等于合适
为什么 V 站大家会留 base64 的联系方式？主要目的是防止 Google 等索引及后续可能的社工
至于你说的爆破，理论上是可行的，但是是需要一段程序支持的，而 base64 的 encode/decode 是随便在网页等地方 1 秒解开的。
可以对比一下，手机号 md5 几秒可解，安全性并不比 base64 高，但是反解起来更麻烦，所以有点脱裤子放屁的意思。
至于微信的 MD5 和 base64 相比，MD5 无解，因为微信 ID 长度可以非常长，base64 秒解。

综上，MD5 垃圾，base64 好用