我想在数据库中保存一个经过scrypt散列的密码。我可以期望最大长度是多少?
答案: scrypt散列后的密码长度不固定,但通常不超过64个字符。2个回答
11
根据https://github.com/wg/scrypt,输出格式是
,其中
让我们来分解一下:
$s0$params$salt$key,其中:
s0表示版本0格式,具有128位盐和256位派生密钥。params是一个32位十六进制整数,包含log2(N)(16位)、r(8位)和p(8位)。salt是base64编码的盐。key是base64编码的派生密钥。
,其中n表示要编码的字节数。让我们来分解一下:
- 美元符号占用4个字符。
- 版本号占用2个字符。
- 每个十六进制字符表示4位
(log2(16)=4),因此params字段占用(32位/4位)= 8个字符。 - 128位盐等于16个字节。 base64编码格式占用
(4 * ceil(16 / 3))= 24个字符。 - 256位派生密钥等于32个字节。 base64编码格式占用
(4 * ceil(32 / 3))= 44个字符。
4 + 2 + 8 + 24 + 44 = 82个字符。- Gili
8
2
在Colin Percival的实现中,tarsnap scrypt头部是96字节。它包括:
作为一个base64编码的字符串,这个长度是128个字符。
- 6字节'scrypt'
- 10字节N、r、p参数
- 32字节盐
- 16字节0-47字节的SHA256校验和
- 32字节0-63字节的HMAC哈希(使用scrypt哈希作为密钥)
作为一个base64编码的字符串,这个长度是128个字符。
- ChrisV
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
wg-scrypt格式靠拢。 - Ian Boydint表示N,因此log2(N)的最大实际值为31(0x1F)。即使使用long,也不需要额外的数字。该实现使用Java的toString将参数转换为十六进制字符串,没有填充,并且实际上无法使用规范允许的8个字符。参数的实际最大值为6个字符,因此完整字符串的最大值为80。 - Randint和long之间的区别。0x100意味着N等于2^256,也就是1x10^77!即使算法被实现为执行那么多次迭代,也不可能做到。我的真正意思是,对于log2(N)来说,16位没有任何意义。这似乎是规范中的一个错误。 - Rand0x00nnrrpp,当您可以直接使用0xnnnnrrpp。 - Ian Boyd