本帖使用社区开源推广,符合推广要求。我申明并遵循社区要求的以下内容: 我的帖子已经打上 开源推广 标签: 是 我的开源项目完整开源,无未开源部分: 是 我的开源项目已链接认可 LINUX DO 社区: 是 我帖子内的项目介绍,AI生成、润色内容部分已截图发出: 是 以上选择我承诺是永久有效的,接受社区和佬友监督: 是 以下为项目介绍正文内容,AI生成、润色内容已使用截图方式发出 github.com GitHub - OuOumm/OmePic 通过在 GitHub 上创建帐户来为 OuOumm/OmePic 开发做出贡献。 不太会写介绍啥的(希望各位佬友提出建议~ 求个小小的star~ 整个图床是写了挺久的,基本都是vibe的,提出思路啊,然后薅各种公益站写的,在这里非常感谢各位的公益站大佬,非常非常感谢!!!!!!(ps:虽然可恶的奥特曼杀光了) 核心功能 2 个帖子 - 2 位参与者 阅读完整话题
pro(5.29过期):tp-sf6ukykmlm9x4f4yfxayrmw96lxpcy06ntaq0jdtf07z12gh max(6.1过期):tp-so8oq4xhng5dco3initpjtimd5bcxb3jaeac21uejjnq5f5l 2 个帖子 - 2 位参与者 阅读完整话题
IT之家 5 月 9 日消息,在世界密码日(5 月 7 日,每年 5 月的第一个周四)之际,卡巴斯基发布最新报告,在单张英伟达 RTX 5090 显卡配置环境下, 测试 2.31 亿个密码,发现 60% 的密码能在 1 小时内被攻破。 卡巴斯基研究团队选取暗网上泄露的 2.31 亿条不同密码样本,用 MD5 生成哈希,再用 1 张 GeForce RTX 5090 显卡测试破解能力。 测试结果显示,在 1 小时内,可以破解 60% 的密码,而 2 年前这一比例是 59%。虽然从数值上来看,1% 增量并不多,但是放大到 2.31 亿条样本里,意味着又有数百万条密码落入“几乎挡不住”的区间。 IT之家注:MD5 是一种早期广泛使用的哈希算法,可把任意长度的数据转换成固定长度摘要。它的特点是计算很快,过去常用于文件完整性校验、数据去重等场景。 问题在于,密码存储并不需要“快”,反而需要“慢”。因为一旦数据库泄露,攻击者就能借助 GPU 高速枚举候选密码,反复计算哈希并比对结果。常见误区是把 MD5 当成“加密”,其实它不是可逆加密,而是单向哈希;但“不可逆”不等于“安全”,若算法过快、碰撞问题明显,仍不适合保存密码。 理论上,即便数据库泄露,攻击者也只能靠穷举猜测原文。但 MD5 计算开销极低,攻击者能以每秒测试数十亿个候选密码,因此可以被暴力破解。 卡巴斯基还指出,密码长度依旧是强度的关键因素,但很多用户创建密码时,习惯沿用“123456”这类简单模式。 相比之下,bcrypt 和 Argon2 这类专为密码存储设计的哈希方案更慢,也更“贵”。为了拖慢暴力破解,它们会故意提高每次计算成本,从而拉长攻击时间,进而抬高硬件投入。 卡巴斯基建议行业停用 MD5,改用 bcrypt 或 Argon2,同时开启多因素认证,并在支持的场景下尽量改用 Passkey。 参考 More than 50% of leaked passwords end with a number, Kaspersky’s latest research reveals
在今年的“世界密码日”之际,安全厂商卡巴斯基发布的一项研究显示,使用单块高端 GPU,对通过 MD5 算法保护的密码哈希进行暴力破解时,有约 60% 的密码在一小时内就能被攻破,其中约 48% 甚至在一分钟内就可被破解,引发业内对传统密码安全性的再度担忧。 卡巴斯基在研究中选取了一个包含逾 2.31 亿个唯一密码的样本集,这些密码均来自暗网泄露数据库,其中有 3800 万条是较此前一轮研究新增的数据。 研究人员使用 MD5 对这些明文密码重新进行哈希处理,并在单块 NVIDIA RTX 5090 显卡上进行破解测试,结果表明,绝大多数密码在极短时间内就可以被恢复,这也在高性能硬件不断普及的背景下凸显出现代密码体系的脆弱性。 尽管 RTX 5090 并非普通桌面用户的主流显卡,而且价格不菲,但卡巴斯基指出,这并不构成实质门槛。 攻击者完全可以通过云服务低成本租用类似等级的 GPU,“按小时计费”进行密码破解,这意味着即便普通企业或网站在本地并未部署如此昂贵的硬件,其密码数据库一旦泄露,依然会在现实攻击场景中面临高强度破解能力。 研究报告强调,此次测试的结论并非针对明文密码本身,而是指向“快速哈希算法”的结构性风险:任何仅依赖 MD5 等高速哈希算法来存储密码的系统,在数据库被盗取后都不再具有足够的安全性。 卡巴斯基在报告中直言,“攻击者只需要一小时,就能从泄露列表中破解出五个密码中的三个”,在 GPU 性能持续提升的形势下,留给传统密码哈希的安全缓冲时间正在急剧缩短。 卡巴斯基分析认为,攻击效率提升的一个关键原因,在于人类密码选择本身的高度可预测性。 通过对逾 2 亿条泄露密码进行模式分析,研究人员发现,不少用户仍然采用常见单词、数字序列、键盘顺序组合等“套路”密码,而这类模式很容易被整合进字典攻击和规则优化的破解算法,极大缩短了穷举搜索所需的时间。 这项研究也与卡巴斯基在 2024 年开展的前一轮同类分析形成对比,结果显示,2026 年密码整体的可破解性相比两年前略有恶化,虽然幅度不大,仅提升了几个百分点,但趋势依然朝着“更容易被攻破”的方向发展。 卡巴斯基指出,攻击方“提速”的主要动力来自 GPU 性能的年年迭代,而用户在密码习惯上的改进却几乎停滞不前,使得攻防差距持续拉大。 在关于“世界密码日”的讨论中,多位安全专家认为,与其继续庆祝“密码节”,不如把这一天改成“告别密码日”,推动业界尽快摆脱对单一密码的依赖,或至少彻底重塑账号安全架构。 尽管“密码已死”的说法多年来屡被渲染,但现实是,大部分用户和企业依然在高度依赖密码登录,安全宣传邮件与市场推广活动年年不断,却未能从根本上扭转密码弱、复用多、保护差的现状。 托管服务提供商 Thrive 的“按需 CISO”Chris Gunner 在接受邮件采访时表示,没有必要完全抛弃密码,但它必须被纳入更广义的“身份安全战略”之中,而不是孤立存在。 他指出,即便是强密码,如果所在的身份与访问管理环境缺乏统一治理,同样可能因配置松散、会话劫持或权限滥用而形同虚设,因此密码最好与第二要素绑定使用,优先考虑生物识别等更难被绕过的因子。 Gunner 进一步建议,将多因素认证与身份治理和终端防护整合起来,构建更完整的零信任模型,通过精细化的访问控制和持续验证,降低单一账号被攻陷后横向移动的风险。 在他看来,组织应该假设“第一道门迟早会被打开”,并在门后再筑起多层防线,而不是将全部希望寄托在复杂密码和“正确哈希存储”上。 IEEE 高级会员、诺丁汉大学网络安全教授 Steven Furnell 则提醒,密码问题不能只停留在“教用户自救”的层面。 他表示,在未来相当长一段时间内,密码不会真正消失,而新一代安全技术(如无密码登录、Passkey 等)的部署也极不均衡,许多网站和服务尚未提供支持,导致用户不得不在传统密码和新方案之间来回切换,体验割裂且风险并存。 Furnell 指出,当前不少服务要么没有向用户清晰说明如何创建符合现代标准的高强度密码,要么干脆没有执行足够严格的密码策略,让用户轻松通过弱密码注册或修改流程,从源头埋下隐患。 在他看来,这个“世界密码日”真正应该发出的信号,并不是再一次要求用户“自觉增强安全意识”,而是敦促那些仍以密码为主要认证手段的网站和服务提供方,承担起应有的安全责任,推动更安全的登录选项和更合理的密码要求落地。 在多位专家看来,无论是采用更强的密码管理规则,还是转向多因素认证、Passkey 乃至“无密码化”方案,主动权都不应完全压在终端用户身上,而需要组织和服务提供方做出系统性的架构调整。 在 GPU 算力充裕、MD5 等快速哈希算法形同虚设的当下,任何自认为“复杂、随机并已哈希”的密码,都不应被视为最后一道防线,而只是门口的一把基础锁,真正决定安全底线的,是其背后那一整套身份与访问控制体系。 查看评论
一、问题背景 在做政府 ICP 备案,或者接入某些三方 SDK 的管理后台时,往往都会要求填写鸿蒙应用的公钥和证书 MD5 指纹,这一步不少开发者第一次遇到会有些懵。 二、解决方案 方案一:通过 AGC 平台下载证书后获取 第一步:下载 .cer 证书 先在 AGC 平台中创建好项目,然后在对应位置下载 .cer 格式的证书文件。 第二步:上传证书获取公钥和 MD5 指纹 打开( 鸿蒙 App 备案 MD5 密钥和公钥获取 )网站,将刚刚下载的 .cer 证书上传,即可获取所需信息。 方案二:通过 AGC 平台获取 第一,先到 AGC 平台上把项目建好,把鸿蒙应用添加进去([点击进入 AGC 平台] ,这是后续操作的基础。 第二,公钥的获取位置在页面顶部的"验证公钥"处,能直接看到并复制过来用。 第三,证书指纹这块,如果之前没有配置过,按照页面上的提示去操作一遍就好了;配置过的话,直接复制已有的内容即可,鸿蒙这边的流程和安卓差不多,都是通过 Keytool 工具来完成的,用 CMD 打开命令行,把目录切换到 keytool.exe 所在的位置(下面的路径是以 JDK 装在 C 盘 Program Files 目录为例的): 复制代码 cd C:\Program Files\Java\jdk\bin 具体操作细节可以参考官方文档: 配置应用签名证书指纹 ,把这些信息都配置好了之后,直接把相关内容复制走就能用了。 方案二:通过 OpenSSL 命令直接提取 手头有证书文件(.cer 格式)的话,也可以用 OpenSSL 命令把所需信息提取出来,不用依赖平台界面。 获取公钥,执行下面这条命令: bash openssl x509 -in xxx.cer -pubkey -noout 获取证书的 MD5 指纹,执行这条: bash openssl x509 -fingerprint -MD5 -noout -in xxx.cer 把 xxx.cer 换成实际的证书文件路径,跑完命令就能把需要的内容拿到了。 1 个帖子 - 1 位参与者 阅读完整话题
[ HharmonyOS Next ] 鸿蒙应用公钥和证书 MD5 指纹的获取 一、问题背景 在做政府 ICP 备案,或者接入某些三方 SDK 的管理后台时,往往都会要求填写鸿蒙应用的公钥和证书 MD5 指纹,这一步不少开发者第一次遇到会有些懵。 二、解决方案 方案一:通过 AGC 平台下载证书后获取 第一步:下载 .cer 证书 先在 AGC 平台中创建好项目,然后在对应位置下载 .cer 格式的证书文件。 第二步:上传证书获取公钥和 MD5 指纹 打开( 鸿蒙 App 备案 MD5 密钥和公钥获取 )网站,将刚刚下载的 .cer 证书上传,即可获取所需信息。 方案二:通过 AGC 平台获取 第一,先到 AGC 平台上把项目建好,把鸿蒙应用添加进去( 点击进入 AGC 平台 ),这是后续操作的基础。 第二,公钥的获取位置在页面顶部的"验证公钥"处,能直接看到并复制过来用。 第三,证书指纹这块,如果之前没有配置过,按照页面上的提示去操作一遍就好了;配置过的话,直接复制已有的内容即可,鸿蒙这边的流程和安卓差不多,都是通过 Keytool 工具来完成的,用 CMD 打开命令行,把目录切换到 keytool.exe 所在的位置(下面的路径是以 JDK 装在 C 盘 Program Files 目录为例的): cd C:\Program Files\Java\jdk\bin 具体操作细节可以参考官方文档: 配置应用签名证书指纹 ,把这些信息都配置好了之后,直接把相关内容复制走就能用了。 方案二:通过 OpenSSL 命令直接提取 手头有证书文件(.cer 格式)的话,也可以用 OpenSSL 命令把所需信息提取出来,不用依赖平台界面。 获取公钥,执行下面这条命令: openssl x509 -in xxx.cer -pubkey -noout 获取证书的 MD5 指纹,执行这条: openssl x509 -fingerprint -MD5 -noout -in xxx.cer 把 xxx.cer 换成实际的证书文件路径,跑完命令就能把需要的内容拿到了。