MD5 在 2025 年还安全吗

简短答案：取决于使用场景

MD5 并不是一个非黑即白的安全问题。MD5 在密码学安全场景（签名、密码存储、防篡改）中已经被彻底淘汰，这一点毋庸置疑。但在非安全场景（数据指纹、去重、缓存键）中，MD5 仍然是一个快速、简单且被广泛支持的工具。2025 年，MD5 的使用需要根据具体场景来判断。

MD5 绝对不能用的场景

• **密码存储：**应使用 bcrypt/Argon2。MD5 太快，会被暴力破解
• **数字签名：**应使用 SHA256 或更强。MD5 碰撞可以被用来伪造签名
• **TLS/SSL 证书：**现代浏览器拒绝 MD5 签名证书
• **HMAC 安全认证：**应使用 HMAC-SHA256
• **防止恶意篡改的文件完整性验证：**攻击者可以精心构造 MD5 碰撞
• **任何需要符合 FIPS 140-2 等安全合规标准的系统：**FIPS 不允许 MD5 用于安全目的

MD5 仍然可以接受的场景

• **非安全文件去重：**比较文件内容是否相同（攻击者无法从你的文件库中获益）
• **缓存键生成：**根据请求参数生成缓存标识符（即使碰撞，最多导致缓存问题，无安全风险）
• **非敏感数据指纹：**快速比较两个数据集是否相同（如同步检查）
• **检测意外文件损坏：**随机数据损坏不会精确碰撞 MD5（只有故意构造才能碰撞）
• **与只支持 MD5 的旧系统的兼容性：**如果旧系统只接受 MD5 且无法升级（但应将其列为技术债务）

真实的攻击威胁有多大

对于普通开发者的日常项目，MD5 碰撞攻击并不是一个迫在眉睫的威胁。在以下条件同时满足时，碰撞攻击才成为真实威胁：攻击者有充足的计算资源（云服务器成本）、攻击有明确的经济利益（如伪造证书获取用户信任）、以及系统使用 MD5 进行安全验证。对于个人小项目，这些条件通常不会同时满足。但最佳实践是，即使没有即时威胁，也应该尽量使用 SHA256——它不慢太多，但提供了更好的安全保障和未来兼容性。

如何评估是否需要从 MD5 迁移

评估迁移优先级时，问自己这些问题：如果两个不同数据产生了相同的 MD5，会有什么后果？如果攻击者能精心构造碰撞，有什么利益？这些数据是否包含安全敏感信息？答案决定了迁移的紧迫性：

• 高优先级迁移：任何安全验证、认证、签名场景
• 中优先级迁移：面向用户的文件完整性验证（即使只是针对意外损坏）
• 低优先级迁移：纯内部的缓存键、去重标识（影响仅限于系统性能，无安全风险）

结论

2025 年，MD5 在安全敏感场景中绝对不安全，这一点无论如何都应该遵守。在非安全场景（去重、缓存、数据指纹）中，MD5 仍然是一个实用的工具，但新项目应该养成默认使用 SHA256 的习惯——两者的实现复杂度几乎相同，而 SHA256 没有任何已知的安全漏洞。