我需要从显示头像图像的 Gravatar URL 中获取真实的电子邮件地址:
http://www.gravatar.com/avatar/fbca892a7c5f5e6a99ad33433f5a93d0?d=http%3A%2F%2Fs.intensedebate.com%2Fimages%2Favatar-normal.png&s=26&r=PG
Gravatar 哈希的生成如下所述:http://en.gravatar.com/site/implement/hash/
如您所见,哈希实际上是电子邮件地址的 MD5 哈希。 MD5 哈希无法"解密"。
所以答案是...你做不到。
但是,如果您知道电子邮件地址是什么(或可能是什么),则可以生成哈希并将其与您已有的哈希进行比较。
我认为可以做到,但我不能,在某篇文章中说"fbca892a7c5f5e6a99ad33433f5a93d0"包含电子邮件地址。
对不起,但你的信念不正确。 gravatar 哈希值并不"包含"电子邮件地址,如果某篇文章真的这么说,那么它是错误的。 为了记录,您链接到的文章没有这么说。 它所描述的是一种"彩虹表"攻击,它将哈希与以前已知的电子邮件地址进行匹配。
由于电子邮件地址被广泛共享,因此这很容易,假设您可以访问泄露的客户数据列表,其中包含您正在寻找的Gravatar的电子邮件。
根据 haveibeenpwned.com 的说法,我自己的电子邮件地址发生在17种不同的违规行为中。其中一些是我使用过的服务,其中一些是在我不知情或未经我同意的情况下获得我的电子邮件的公司违规行为。与密码不同,如果电子邮件地址出现在违规行为中,您将无法真正更改您的电子邮件地址。
想想有多少网站和服务有您的电子邮件地址。现在,想想这些网站中有多少安全松懈,或者放错了数据。您的电子邮件地址出现在违规行为中的几率几乎是可以保证的。
假设您可以构建电子邮件地址数据库,则可以获取每个电子邮件地址的MD5。你只需要构建一次数据库,之后你可以非常便宜地检查一个头像URL是否与你以前见过的任何电子邮件地址匹配。
另一个答案指出,对足够高的熵输入进行暴力破解MD5是不切实际的。这是绝对正确的,但它没有抓住重点。您不需要暴力破解电子邮件地址,因为电子邮件地址通常不是秘密的。另一方面,帐户和电子邮件地址之间的关联有时是秘密的。
从隐私的角度来看,Gravatar决定以允许这种攻击的方式设计他们的服务是相当令人震惊的。
更多资源:
- 10%的StackOverflow头像可以通过尝试用户名和流行的电子邮件提供商的组合来逆转。链接。
- 法国政治论坛上45%的电子邮件地址可以去匿名化。这是使用hashcat完成的。他使用了一个流行的电子邮件提供商列表作为域名。为了确定左手边,他使用了字典和粗暴的短用户名的组合。链接到Dominique Bongard的谈话。
- 此问题概述。链接