世界密码日刚过,卡巴斯基扔出一组扎心数字:用一张英伟达RTX 5090显卡,1小时内能攻破60%的密码。测试样本来自暗网泄露的2.31亿条真实密码,全部用MD5哈希存储。

这个数字本身不算意外——两年前同样测试的比例是59%。但1%的增量放在2.31亿条样本里,意味着又有数百万条密码从"理论上安全"滑进了"几乎挡不住"的区间。

打开网易新闻 查看精彩图片

问题出在MD5的设计逻辑。这种老牌哈希算法以"快"著称,过去常用于文件校验、数据去重。但密码存储恰恰不需要快,而是需要慢。一旦数据库泄露,攻击者能用GPU每秒穷举数十亿个候选密码,MD5的低计算开销反而成了帮凶。

常见误区是把MD5当成"加密"。实际上它是单向哈希,不可逆,但"不可逆"不等于"安全"。算法过快、碰撞风险高,暴力破解只是时间问题。

相比之下,bcrypt和Argon2这类专为密码设计的方案要"贵"得多——它们故意拉高每次计算成本,把攻击时间从小时拉到年,硬件投入也随之飙升。卡巴斯基的建议很直接:停用MD5,换用bcrypt或Argon2,同时开多因素认证,能换Passkey的地方尽量换。

密码长度仍是硬指标,但用户习惯难改。"123456"这类简单模式至今泛滥。技术方案再完善,也架不住人在键盘上偷懒。