我需要从显示头像图像的 Gravatar URL 中获取真实的电子邮件地址:
Gravatar 哈希值的生成方式如下:http://en.gravatar.com/site/implement/hash/
如您所见,哈希值实际上是电子邮件地址的 MD5 哈希值。 MD5 哈希值无法“解密”。
所以答案是……你做不到。
但是,如果您知道电子邮件地址是什么(或可能是),您可以生成散列并将其与您已有的进行比较。
我认为可以做到,但我不能,在一些文章中说“fbca892a7c5f5e6a99ad33433f5a93d0”包含电子邮件地址。
抱歉,您的信念是错误的。头像哈希不“包含”电子邮件地址,如果某些文章确实这么说,那么它是错误的。郑重声明,您链接的文章并没有这么说。它描述的是一种“彩虹表”攻击,它将哈希值与以前已知的电子邮件地址进行匹配。
因为电子邮件地址被广泛共享,所以这很容易,假设您可以访问泄露的客户数据列表,其中包含您正在寻找的 Gravatar 的电子邮件。
根据haveibeenpwned.com,我自己的电子邮件地址出现了 17 次不同的泄露。其中一些是我使用过的服务,其中一些是在我不知情或未经我同意的情况下获取我的电子邮件的公司的违规行为。与密码不同,如果您的电子邮件地址出现泄露,您实际上无法更改它。
想一想有多少网站和服务拥有您的电子邮件地址。现在,想想有多少网站的安全措施不严,或者丢失了您的数据。您的电子邮件地址出现泄露的可能性几乎是有保证的。
假设你可以建立一个电子邮件地址数据库,你可以获取每个电子邮件地址的MD5。您只需要构建一次数据库,之后您就可以非常便宜地检查头像 URL 是否与您之前见过的任何电子邮件地址相匹配。
另一个答案指出,对于足够高的熵输入,暴力破解 MD5 是不切实际的。这完全正确,但没有抓住要点。您不需要暴力破解电子邮件地址,因为电子邮件地址通常不是秘密的。另一方面,帐户和电子邮件地址之间的关联有时是秘密的。
Gravatar 决定以允许这种攻击的方式设计他们的服务,从隐私角度来看是相当令人震惊的。
更多资源:
您可以使用此网站,但您需要 Gravatar 图像的 MD5 哈希部分。 https://getavatar.info/
