60% 的 MD5 密码哈希值在一小时内即可被破解

5月7日是世界密码日，而庆祝这个日子“最好”的方式，莫过于收到这样一则消息：绝大多数号称安全的密码哈希值，用单块显卡在不到一小时内就能被破解，有些甚至不到一分钟。

安全公司卡巴斯基（Kaspersky）的研究人员利用来自暗网泄露的超过 2.31 亿个独立密码数据集（包括其先前研究以来新增的 3800 万个），并使用 MD5 算法进行哈希处理。他们发现，仅使用单张英伟达 RTX 5090 显卡，就有 60% 的密码能在不到一小时内被破解，足足 48% 的密码在 60 秒内就能搞定。

当然，考虑到价格因素，这确实不是你随随便便就能买到的普通桌面显卡。但这突出了一个重要的事实：破解普通密码的哈希值所需的条件少得惊人。卡巴斯基指出，有抱负的网络犯罪分子甚至根本不需要自己拥有一块 RTX 5090，他们可以轻松地从云服务提供商那里租用一张，花几美元就能破解哈希值。

底线是：如果攻击者在数据泄露中获取了仅靠 MD5 等快速哈希算法保护的密码，那么这些密码就不再安全。

卡巴斯基指出：“攻击者只需要一个小时，就能破解他们在泄露数据中找到的五分之三的密码。”

密码哈希值之所以变得如此容易被破解，很大程度上归因于密码的可预测性。据卡巴斯基称，他们对超过 2 亿个暴露密码的分析揭示了常见的模式，攻击者可以利用这些模式来优化破解算法，从而显著减少猜出目标账户访问权限所需字符组合的时间。

如果你想知道是否有趋势可以对比，卡巴斯基在 2024 年进行了这项研究的早期版本。坏消息是：与几年前相比，2026 年的密码实际上更容易被破解了。虽然差别不大——只有几个百分点——但这依然是朝着错误的方向迈进。

卡巴斯基解释道：“攻击者速度的提升要归功于GPU，它们每年都变得更加强大。不幸的是，密码依然和以往一样脆弱。”

不如来个“世界停止依赖密码日”怎么样？

不幸的是，过去几十年来，关于“密码已死”的消息被大大夸大了，但我们大多数人每天仍然多次依赖密码。也许我们真的需要加快抛弃密码的步伐，或者至少，重新思考我们的安全范式。

大型托管服务提供商 Thrive 的雇佣首席信息安全官（CISO）克里斯·冈纳（Chris Gunner）在邮件评论中告诉我们，没有理由完全抛弃密码，但它们需要成为更广泛的基于身份的安全策略的一部分。

冈纳说：“即使密码强度很高，如果更广泛的身份和访问环境没有得到妥善管理，也可能被攻破。” 冈纳表示，密码应该与第二重验证（MFA）配对，最好是生物识别验证，因为这是黑客最难绕过的。

冈纳补充道：“多因素认证（MFA）控制措施随后应与身份治理和端点保护相结合，以减少系统之间的漏洞。” 他还建议建立更广泛的零信任模型，以限制通过受损账户进行横向移动的可能性。

IEEE 高级会员、诺丁汉大学网络安全教授史蒂文·弗内尔（Steven Furnell）表示，世界密码日的宣传也不应只停留在告诉人们提高个人安全态势上。弗内尔在邮件中解释说，密码在很长一段时间内都不会消失，而新安全技术的采用不一致意味着某些提供商未能适应，用户将面临风险。

弗内尔解释道：“许多网站和服务仍然不支持通行密钥，因此用户会发现自己的登录体验是混杂的。虽然有些人可能会认为用户有责任妥善保护自己，但他们需要知道该怎么做。”

这位教授指出，在许多情况下，用户没有被告知如何创建一个良好的现代密码；而在其他情况下，网站根本没有强制执行足够的密码要求来确保密码安全（在密码能达到的安全程度上）。

“在这个世界密码日，主要的信息不应该是针对用户的（因为他们通常别无选择，只能使用密码），而应该是针对那些要求他们使用密码的网站和提供商，”弗内尔告诉我们。

你听到了这位专家的话——是时候升级你的用户安全堆栈了。无论你认为那些密码有多安全，哪怕它们有复杂的要求和正确的哈希存储，某人攻破它们可能也花不了太长时间。因此，确保在第一扇门后面还有另一扇锁着的门，是组织的责任。