2025年信息系统安全专家哈希函数的暴力破解防御专题试卷及解析.pdfVIP

2025年信息系统安全专家哈希函数的暴力破解防御专题试卷及解析1

2025年信息系统安全专家哈希函数的暴力破解防御专题试

卷及解析

2025年信息系统安全专家哈希函数的暴力破解防御专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、以下哪种哈希函数因其抗碰撞性已被证明不安全，不再推荐用于密码存储？

A、SHA256

B、MD5

C、bcrypt

D、PBKDF2

【答案】B

【解析】正确答案是B。MD5已被证明存在严重的碰撞漏洞，容易被暴力破解和碰

撞攻击，不适用于密码存储等安全场景。SHA256是SHA2系列算法，目前仍被认为是

安全的；bcrypt和PBKDF2是专门为密码存储设计的密钥派生函数，具有抗暴力破解

特性。知识点：哈希函数安全性评估。易错点：混淆通用哈希函数（如SHA256）与密

码专用哈希函数（如bcrypt）的适用场景。

2、在防御彩虹表攻击时，最有效的技术是？

A、增加哈希迭代次数

B、使用加盐（Salting）

C、选择更长的哈希输出

D、使用硬件加速

【答案】B

【解析】正确答案是B。加盐通过为每个密码添加随机值，使得预计算的彩虹表失

效，是防御彩虹表攻击的核心手段。增加迭代次数（A）主要增加暴力破解时间成本，但

对彩虹表无效；更长的哈希输出（C）和硬件加速（D）与彩虹表防御无直接关联。知识

点：彩虹表攻击原理及防御。易错点：误认为增加哈希复杂度能防御彩虹表，而忽略了

预计算攻击的本质。

3、以下哪种密钥派生函数（KDF）设计时特别考虑了GPU/ASIC暴力破解的防

御？

A、HMACSHA256

B、PBKDF2

C、scrypt

D、SHA3

【答案】C

2025年信息系统安全专家哈希函数的暴力破解防御专题试卷及解析2

【解析】正确答案是C。scrypt通过引入内存密集型计算（需要大量RAM），显著增

加GPU/ASIC的破解成本，而PBKDF2（B）仅增加CPU计算时间，HMACSHA256

（A）和SHA3（D）是通用哈希函数，无此类设计。知识点：KDF抗硬件加速特性。易

错点：混淆CPU密集型（PBKDF2）与内存密集型（scrypt）防御策略。

4、在密码存储中，“慢哈希”的主要目的是？

A、减少存储空间

B、增加暴力破解时间成本

C、提高哈希速度

D、简化实现

【答案】B

【解析】正确答案是B。慢哈希（如bcrypt、PBKDF2）通过故意增加计算时间，使

攻击者暴力破解每个密码的代价大幅提高。减少存储空间（A）和简化实现（D）与慢

哈希无关；提高哈希速度（C）与其设计目的相反。知识点：慢哈希原理。易错点：误

认为哈希速度越快越好，而忽略了安全场景下的时间成本权衡。

5、以下哪种加盐方式最安全？

A、全局固定盐值

B、用户名作为盐值

C、每个密码使用独立随机盐

D、时间戳作为盐值

【答案】C

【解析】正确答案是C。独立随机盐确保每个密码的哈希结果唯一，彻底避免相同

密码的哈希碰撞。固定盐（A）和用户名盐（B）可被预测；时间戳盐（D）可能因时间

精度问题重复。知识点：盐值生成策略。易错点：忽略盐值的随机性和唯一性要求。

6、在哈希函数暴力破解防御中，“工作因子”（WorkFactor）通常指？

A、哈希输出长度

B、盐值长度

C、迭代次数或内存消耗

D、并行计算线程数

【答案】C

【解析】正确答案是C。工作因子是可调整的计算成本参数（如bcrypt的cost值、

scrypt的N/r/p参数），通过增加迭代次数或内存消耗提高破解难度。哈希输出长度

（A）和盐值长度（B）与工作因子无关；线程数（D）是并行化参数，非防御核心。知

识点：KDF参数配置。易错点：混淆工作因子与哈希算法固有属性。

7、以下哪种场景最适合使用SHA3而非SHA256？

A、密码存储

2025年