2026-06-18 06:46:40 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 卡巴斯基报告显示RTX5090显卡1小时可破解60%的MD5哈希密码，AI模型能通过分析人类设密模式提升破解效率。建议采用SM3等合规算法、加盐机制、多因子认证及FIDO无密码方案应对GPU算力和智能破解的双重威胁。 综合评分： 82 文章分类： 数据安全,应用安全,网络安全,安全工具,解决方案

cover_image

《弱密码（口令）在AI时代的窘境》第二季：密码hash值同样“不堪一击”！

原创

飞天诚信飞天诚信

飞天诚信

2026年6月16日 16:36 北京

在小说阅读器读本章

去阅读

近日，全球网络安全厂商卡巴斯基发布报告，针对暗网泄露的2.31亿条密码（口令）MD5 Hash值展开测试，发现单张英伟达RTX5090显卡能在一小时内破解其中60%的密码，比两年前的结果增加了1个百分点。这意味着又有数百万条密码变得更容易被破解。

测试中，卡巴斯基团队利用RTX5090的CUDA核心并行处理特性，使用暴力破解的方式攻击目标MD5哈希值：生成大量可能的明文密码、计算其哈希值，再与暗网泄露的哈希数据对比，最终实现破解。RTX5090是英伟达2024年推出的旗舰消费级显卡，具有极其强大的并行计算能力，能够作为AI领域的高性能计算节点，为AI训练以及AI推理（应用）提供算力支持，同时也为密码暴力破解提供了支撑。暴力破解是最传统的密码破解方式，过去受限于算力不足而显得效率低下，但随着GPU的爆发，暴力破解得以重获新生。报告显示，RTX 5090的MD5运算速度高达每秒2200亿次，暴力破解效率较上一代RTX 4090提升34%。报告特别强调，若采用多卡并行或云集群部署，性能还将进一步提升。

除了暴力破解之外，基于机器学习的“智能”破解更具威胁。卡巴斯基专家指出，基于海量泄露密码数据库训练的AI模型，能够精准捕捉人类设置密码的行为模式，进而优先测试最可能的密码组合，大幅提升破解效率。这些行为模式主要包括：

流行词替换：将“password”替换为“p@ssw0rd”之类；
扫键盘：如“qwerty”“asdfgh”等键盘上的连续按键组合；
个人信息嵌入：将姓名缩写与生日、手机号后几位等个人信息组合；
常见后缀：添加“!”“@”“#”“2025”“abc”等常用后缀。

报告指出，随着这类“智能”破解的普及，一些复杂度符合要求（包含大小写字母、数字和特殊符号）的口令可能会像弱口令一样更容易被破解。

GPU不仅服务于游戏娱乐和AI训练，也给密码破解者提供了廉价且强大的超级算力。得益于云服务商提供的GPU算力租用服务，攻击者甚至无需斥资购买高端显卡，只需租用几小时的GPU算力，就能完成针对性的密码破解攻击。这也直接导致暗网市场上“已破解哈希数据库”的交易愈发活跃，进一步加剧了密码安全危机。

针对口令风险，飞天诚信结合卡巴斯基报告给出以下建议：

使用新一代合规hash算法：MD5发布于1991年，因计算速度快、实现简单曾被广泛用于密码存储，但在当前技术条件下已经显得安全强度不足（实际上，美国NIST早在2010年就已经建议停用MD5，我国也早已将MD5被列为不合规密码算法）。使用SM3等新一代hash算法（以及未来的PQC hash算法），能够有效地降低基于GPU进行暴力破解的效率，缓解风险；
口令存储使用加扰（salt）机制：在计算口令hash值时加入随机数，将所加入的随机数与计算得出的hash值一并存储。这能够有效防御基于彩虹表（预先计算好的哈希值与明文密码的对应表）的“撞库”攻击，也能够在一定程度上降低暴力破解的效率；
在口令基础上部署第二因子认证（2FA）进行强化（例如部署飞天诚信OTP认证系统，构建“口令+动态口令”的MFA，同时满足等保和密评第三级别的要求），避免密码被破解导致的安全风险快速扩大。对于银行核心业务系统、企业ERP等关键信息系统，考虑使用基于安全硬件的MFA（例如飞天诚信FIDO Security Key）进一步提升MFA安全强度；
部署不依赖口令的“无密码”（passwordless）多因子认证（MFA）代替口令。例如FIDO Passkey是基于FIDO2协议的“无密码”MFA解决方案，使用非对称密码技术，在验证端保存的不是口令而是公钥。根据密码学原理，公钥可以公开，不影响数字签名的安全性。

作为FIDO联盟董事会成员，飞天诚信积累了丰富的“无密码”身份认证经验，构建了完善的FIDO Security Key产品线，其安全性能够满足NIST SP 800-63B中最高级别（AAL3）的要求。

密码安全没有”完成时”，只有”进行时”。从MD5到SM3，从单一口令到多因素认证，从”密码时代”到”无密码未来”——每一次技术迭代背后，都是攻防博弈的升级，更是对安全厂商技术实力与责任担当的考验。

算力在狂飙，安全更须领跑。面对GPU算力爆发与AI智能破解的双重挑战，飞天诚信将继续秉持”密码技术守护数字世界”的使命，与行业伙伴携手，以合规为基、以创新为刃，为用户提供从算法到产品、从认证到管理的全栈式密码安全解决方案，坚决捍卫每一条口令、每一个身份、每一次登录背后的信任与安全。

您的数字身份，值得最硬核的守护。飞天诚信，一直在路上。

——THE END——

“不堪一击”！弱密码（口令）在AI时代的窘境飞天诚信：缓解密码焦虑需要MFA

这不是演习！商用大模型赋能的“两高一弱”网络攻击已经出现飞天诚信：AI时代更加需要MFA

Google旗下网络安全公司发布密码（口令）攻击工具飞天诚信：这浓眉大眼的也……

依法查处！公安部网安局披露典型弱口令案例飞天诚信：防止口令泄露造成损失需要MFA

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：飞天诚信飞天诚信飞天诚信《《弱密码（口令）在AI时代的窘境》第二季：密码hash值同样“不堪一击”！》