2个回答
29
截至2022年,最好使用内存加强函数(例如scrypt或Argon2)。Bcrypt也可以是一种选择,但它不是内存加强的。
至于PBKDF2,建议在2000年时使用1000次迭代,现在需要更多。
此外,在使用bcrypt时应更加小心:
值得注意的是,虽然对于大多数类型的密码来说bcrypt比PBKDF2更强大,但对于长的口令短语而言,它则落后了;这是因为bcrypt无法使用超过口令短语的前55个字符。尽管我们估计的成本和NIST的口令熵估计表明bcrypt的55个字符限制目前不太可能引起问题,但依赖于bcrypt的系统实现者可能会明智地绕过这个限制(例如,通过“预哈希”口令短语使其适合55个字符的限制),或者采取措施防止用户在第56个及其后面的字符中放置太多的口令熵(例如,通过要求网站的用户将其密码输入只有空间容纳55个字符的输入框中)。
从scrypt论文[PDF]中可以看到:http://www.tarsnap.com/scrypt/scrypt.pdf 话虽如此,还有scrypt。
任何比较都不完整,如果没有上述提到的scrypt论文中的表格:
其中PBKDF2-HMAC-SHA256的迭代计数分别为86,000和4,300,000。这张表格显示了一年内破解密码所需的硬件估计成本。
至于PBKDF2,建议在2000年时使用1000次迭代,现在需要更多。
此外,在使用bcrypt时应更加小心:
值得注意的是,虽然对于大多数类型的密码来说bcrypt比PBKDF2更强大,但对于长的口令短语而言,它则落后了;这是因为bcrypt无法使用超过口令短语的前55个字符。尽管我们估计的成本和NIST的口令熵估计表明bcrypt的55个字符限制目前不太可能引起问题,但依赖于bcrypt的系统实现者可能会明智地绕过这个限制(例如,通过“预哈希”口令短语使其适合55个字符的限制),或者采取措施防止用户在第56个及其后面的字符中放置太多的口令熵(例如,通过要求网站的用户将其密码输入只有空间容纳55个字符的输入框中)。
从scrypt论文[PDF]中可以看到:http://www.tarsnap.com/scrypt/scrypt.pdf 话虽如此,还有scrypt。
任何比较都不完整,如果没有上述提到的scrypt论文中的表格:
其中PBKDF2-HMAC-SHA256的迭代计数分别为86,000和4,300,000。这张表格显示了一年内破解密码所需的硬件估计成本。
- dchest
6
-9
关于标题的评论:
- 除非必须,否则不要使用加密(可逆)来存储密码。
- 既然您提出了散列(不可逆)作为一种替代方案,我认为您不需要可逆性。
对于 PBKDF2 和 Bcrypt 的使用意见以及是否应该实施更改?
我的看法:
使用 PBKDF2 而非 Bcrypt。 (我只是比较相信 SHA 胜过 Blofish,没有任何理由)
至于是否应该“实施更改”,我不知道您在问什么。
已编辑以更清晰地将加密/哈希讨论与表述算法偏好分开。
- Slartibartfast
4
实现一项更改,即将我的脚本转换为使用bcrypt而不是PBKDF2算法。 - buggedcom
5我不相信bcrypt是加密。它是一种基于BLOWFISH的单向哈希机制。 - buggedcom
BCrypt是一种哈希算法。 - Keith Palmer Jr.
12-1. Bcrypt用于哈希,而不是加密。您的回答有暗示它用于加密(这对于存储密码是不好的)。如果您能澄清您的观点,以便读者不太可能认为Bcrypt用于加密,那我会很快撤销我的投票。 - David Murdoch
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
char更容易被破解。 - Can H. Tartanoglu