早在2010年，美国软件工程学会(SEI)就认为MD5算法已被破解，不再适用。
"cryptographically broken and unsuitable for further use"
考虑到国内依旧在广泛使用MD5算法于安全领域，写此为，希望引起大家对安全的重视。

MD5函数过去通常用于数据的完整性校验和用户密码的加密保存。

一 数据完整性校验

常见的应用是

1. 软件完整性。通常软件签名不会对整个软件签名，而是对软件的HASH值签名。
   微软早期的应用软件签名就是使用的md5算法，还有人们在网络上下载软件，为确保软件没被修改，常常使用MD5值做校验完整性。
2. 开放API,　为了防止用户修改API请求的参数，API提供商常常使用ＭＤ５值校验请求的完整性。
   以上应用都是建立在MD5 函数不碰撞的基础上，而这个基础已不可靠，因为构造一个MD5碰撞已不难
   2005年山东大学的王小云教授发布算法可以轻易构造ＭＤ５碰撞实例，此后2007年，有国外学者在王小云教授算法的基础上，提出了更进一步的MD5前缀碰撞构造算法“chosen prefix collision”，此后还有专家提供了MD5碰撞构造的开源的库。
   所以MD5碰撞很容易构造，基于MD5来验证数据完整性已不可靠，考虑到近期谷歌已成功构造了SHA1的碰撞实例，对于数据完整性，应使用SHA256或更强的算法代替。
   以下是简单的MD5碰撞实例:

<?php

//md5 碰撞示范，数据不同，md5值一样

$a = <<< EOT
d131dd02c5e6eec4693d9a0698aff95c
2fcab58712467eab4004583eb8fb7f89
55ad340609f4b30283e488832571415a
085125e8f7cdc99fd91dbdf280373c5b
d8823e3156348f5bae6dacd436c919c6
dd53e2b487da03fd02396306d248cda0
e99f33420f577ee8ce54b67080a80d1e
c69821bcb6a8839396f9652b6ff72a70
EOT;

$b = <<< EOT
d131dd02c5e6eec4693d9a0698aff95c
2fcab50712467eab4004583eb8fb7f89
55ad340609f4b30283e4888325f1415a
085125e8f7cdc99fd91dbd7280373c5b
d8823e3156348f5bae6dacd436c919c6
dd53e23487da03fd02396306d248cda0
e99f33420f577ee8ce54b67080280d1e
c69821bcb6a8839396f965ab6ff72a70
EOT;


$a = str_replace("\n","",$a);
$a = hex2bin($a);

$b = str_replace("\n","",$b);
$b = hex2bin($b);

assert($a !=$b);

echo md5($a);
echo "\n";
echo md5($b);
echo "\n";

二 用户密码加密保存

用户的登录密码，是很重要的一个安全环节。
如果明文保存在数据库，一旦黑客入侵或是内部员工盗窃，用户密码就会泄漏。
国内外大网站都发生过因黑客或是内部员工导致用户数据的泄漏问题，用户密码一旦泄漏对于电商网站或是支付网站的影响是难于估量的。

为了保护用户密码，早期人们使用MD5算法把密码加密后保存，通常计算MD5值时会加一个”盐值“(即一个固定的密串),这个盐值可能是共用的，也可能是一个用户一个盐值。

MD5(密码+盐值)，这样形式的密码储存方案在早期基本上是密码存储的一个通行标准，国内多数网站（包括大型电商和支付网站）早期都采用的是这个办法，如果没有更新的话，现在很多网站依旧是这个方案。

这样的方案什么不对？
1,对于黑客入侵或是内部员工，能拿到用户数据的人，很容易就拿到盐值
2,虽然黑客不能反解密码，密码通常有一定的规则，诸如大小写数字六位数以上等，黑客可通过排列组合一个一个的试，暴力破解，因为MD5值的计算速度很快，对于六位数密码，很容易攻克。
注意：这个暴力破解是离线运行的，在线的暴力破解很容易阻挡。
被攻击的网站没有感觉，如果用比特币挖矿的矿机，这样的破解轻而易举，没挑战。

你会说，MD5不行，SHA1也被谷歌破解了，SHA256 密码加盐值这样可靠了吧？
SHA256 密码加盐值也不安全。
因为，MD5，SHA1，SHA256就不是用来保存密码用的， 是用来校验数据完整性用的，三个算法的计算速度都很快，试想一下，校验一个4G的ISO镜像文件，必须要有高效的计算速度。

因为算法效率高，速度快，也就降低了暴力破解的难度。

正确的做法是使用bcrypt算法，bcrypt算法的优点是计算速度慢，没错计算速度慢，
还可以通过参数调节速度，要多慢有多慢。

<?php

$options  =  ["cost" => 10 ]; //调速参数，越大越慢
$password = "password here";
$hash = password_hash($password, PASSWORD_BCRYPT, $options);
echo "$hash\n";

// 校验
assert(password_verify($password,$hash) == true);

普通的电脑每秒可运行数万次SHA256计算，bcypt算法通过参数设置可以调整为计算一次耗时1秒。
这样大幅提高了暴力破解的门槛，增强了安全性。

这里有个比特币矿机配置，供参考， 以便提高安全意识：
型号：HashFast Sierra Batch 2
价格：7080美元
功率： 780瓦
性能： 1200 GH/s (每秒可运行1.2万亿次SHA256计算)