可能重复:
什么是用户密码盐的最佳长度?
我尝试在Stack Overflow上寻找这个问题的答案,但没有成功。
假设我使用SHA-1哈希函数(因此它是160位),并且假设SHA-1足够用于我的应用程序。生成密码哈希值时,盐应该有多长?
我找到的唯一答案是没有必要比哈希本身更长(在这种情况下为160位),听起来很合理,但我应该让它那么长吗?例如,Ubuntu使用8字节盐与SHA-512(我猜),那么对于SHA-1而言,8字节是否足够,或者是否过多?
最佳密码盐长度
6
- Juliusz Gonera
1
为什么你想使用SHA-1而不是像bcrypt/scrypt这样的真正密码哈希函数? - Venge
1个回答
1
目前的标准建议使用16个字符长度的盐http://en.wikipedia.org/wiki/Crypt_%28Unix%29#SHA-based_scheme
此外,这个问题以前已经被问过 :)
- Tom Gullen
1
嘿,这是真的。不过我想知道你是怎么找到它的。我尝试了http://stackoverflow.com/search?q=password+salt+length和http://stackoverflow.com/search?q=optimal+password+salt+length,但肯定不在第一页。无论如何,问题仍然没有得到解答。你提供的维基百科链接(也在另一个问题中提供)并没有提到16个字符长的盐。那里提到的最长盐是24位的“BSDi扩展DES方案”。 - Juliusz Gonera
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接