【发布时间】:2012-10-20 12:13:42
【问题描述】:
对于用于在 connect/express 中以加密方式散列会话数据的密钥长度是否有任何建议?我看到了从 60 多个字符串到规范的“键盘猫”的所有内容。
对于我的直接用例,我打算对整个站点使用 SSL,暴力攻击的回报是中低。
【问题讨论】:
标签: security node.js session express sha256
【发布时间】:2012-10-20 12:13:42
【问题描述】:
显然越长越好,但将其设置为 60+ 有点矫枉过正。如果密钥是一个随机字符串(应该是),那么您是否意识到您可以使用 60 个字符获得多少组合?很多。 :)
【讨论】:
-
确实如此。但是,密钥被输入到 sha256 哈希函数中。如果我从 8 个字符输入变为 16 个字符输入,该哈希的加密强度是否会大大提高? 32岁呢?是线性的吗?有关系吗?我不知道。
-
强度呈指数增长,因为组合的数量呈指数增长。所以蛮力/字典攻击可能在使用 10 个字符后就变得毫无用处了。确定20。 :)
-
哈哈,有道理。在寻找答案时,我遇到了几个方便的波浪建议,但如果获取数据的唯一方法是暴力攻击,那么大约 20 个字符肯定会提供疯狂的组合数量。 :)