【发布时间】:2011-03-03 00:19:44
【问题描述】:
我试图在 Stack Overflow 上找到这个问题的答案,但没有成功。
假设我使用 SHA-1 哈希存储密码(所以它是 160 位),假设 SHA-1 足以满足我的应用程序。用于生成密码哈希的盐应该多长时间?
我发现的唯一答案是,让它比散列本身(在这种情况下为 160 位)长,这听起来合乎逻辑,但我应该让它长吗?例如。 Ubuntu 使用 SHA-512 的 8 字节盐(我猜),那么 8 字节对于 SHA-1 是否也足够了,或者可能太多了?
【问题讨论】:
-
为什么要使用 SHA-1 而不是像 bcrypt/scrypt 这样的真正的密码散列函数?
标签: security cryptography passwords salt