我知道 sha256 不适合哈希密码,因为它太快了,因此攻击者可以暴力破解常用密码的输出。我最近使用 Google Ads API 和其他广告平台来上传转化数据。上传的转化中包含经过哈希处理(使用 sha256)的用户电子邮件。我想知道为什么在这种情况下 sha256 可以用于散列电子邮件。如果攻击者成功获取了用户的邮件数据库,那不是就能轻松查出用户的原始邮件吗?
我想说有两个主要因素。
电子邮件地址通常比密码长得多。我发现一些来源将平均长度定为 20 到 25 个字符左右。即使我们采用较低的估计并且只允许小写字符,也已经给出了大约 9e27 可能的不同字符串。
将其与密码进行比较,其中标准要求可能是 最小长度为 8 个字符,其中至少一个大写字母 一个字母、一个小写字母、一个特殊字符和一个数字。 这为您提供了 94 个符号的字母表,但由于长度较短,仍然只有大约 6e15 个单独的组合。
因此,对潜在电子邮件地址进行简单的暴力破解 SHA256 哈希将比密码花费更长的时间一万亿倍。当然,这完全忽略了重要的方面,例如电子邮件地址比密码更加“规则”,但仍然应该给出不同复杂性的想法。
该特定场景中的电子邮件地址并不是那么有趣。我认为,Google Ads 中使用的大多数客户列表可能相当小,因为它们对于理想情况下追求数百万个新电子邮件地址数据集的垃圾邮件机器人运营商来说没有多大价值。
电子邮件地址
[email protected]