又拍云 表单api 作为不可信用户上传的方式 是否安全

Question

应用的情景是这样的，因为服务器本身带宽很小，可是又有大量的图片上传请求，所以想让用户直接将图片直接上传至又拍，而不通过web服务器中转

又拍云提供的方式是表单api，表单api主要包含两个参数

policy：一个是对于上传图片的描述和上传处理规则，经过base64编码，这是一个公开字符串,大概有几百个字符吧
sign： md5加盐后的一个字符串，即 md5 ( plicy + 密码 )，可是这里的“盐”是公开的，密码比较随机吧应该

在这样的情况下，破解出密码的难度是多大，或者说破解的难度会随着公开的盐的长度又怎么样的变化

或者说如果采用表单api进行这样的应用，会不会很容易密码就被破解

谢谢！

Answer 1

你的这个例子，由于md5原文足够长，因为彩虹表肯定是搞不了，想要破解的话只能是硬算，因此破解难度取决于md5的可靠性和你密码的复杂度。

就目前来说，md5虽然有坑（可以找出碰撞），但是还不足以直接“碰撞”找出你的密码。所以最后还是看密码的复杂度。

根据最新的消息，一个由大小写字母和数字组成的8位密码仅需要愈200万亿次运算，即20分钟就能完全穷举这样的MD5加密密码。即使算上标准键盘上所有标点符号 (95^8)，也仅需10小时就能穷举完毕。据此可以估计，如果你采用16个字符以上，混合大小写、数字、特殊符号，以这个系统来说所需的攻击时间至少需要7.57×10^12年，在目前人类掌握的计算能力下是搞不定的。