我一直在阅读有关 Gawker 事件的文章,并且出现了几篇关于仅使用 bcrypt 来散列密码的文章,我想确保我的散列机制足够安全以避免切换到另一种方法。在我当前的应用程序中,我选择了使用 sha2-512 和至少 1000 次迭代的 PBKDF2 实现。
我能否就使用 PBKDF2 与 Bcrypt 以及是否应该实施更改征求意见?
【问题讨论】:
标签: passwords hash password-protection bcrypt pbkdf2
从 2022 年开始,最好切换到内存硬函数,例如 scrypt 或 Argon2。 Bcrypt 也可以是一种选择,但它并不难记忆。
对于 PBKDF2,使用 1000 次迭代的建议是在 2000 年提出的,现在您想要更多。
另外,你在使用 bcrypt 时应该更加小心:
另外值得注意的是,虽然 bcrypt 对于大多数类型的密码都比 PBKDF2 更强,但它在长密码短语方面落后;这是由于 bcrypt 无法使用超过密码的前 55 个字符而我们估计的成本和 NIST 的 . 密码短语熵的估计表明 bcrypt 的 55 个字符的限制不是 目前可能会导致问题,依赖于系统的实施者 建议 bcrypt 解决这个限制(例如,通过“预散列”密码以使其符合 55 个字符的限制)或采取措施 防止用户在第 56 位及以后放置过多的密码熵 字符(例如,通过要求网站用户在输入中输入他们的密码 框只能容纳 55 个字符)。
也就是说,还有scrypt。
如果没有上述 scrypt 论文中的表格,任何比较都是不完整的:
使用的 PBKDF2-HMAC-SHA256 的迭代次数有 86,000 和 4,300,000。
【讨论】:
评论(回复:标题):
关于使用 PBKDF2 与 Bcrypt 和 我是否应该实施 改变?
我的看法:
在 Bcrypt 上使用 PBKDF2。 (我只是比 Blofish 更相信 SHA,无缘无故)
至于你是否应该“实施改变”,我不知道你在问什么。
进行了编辑,以更清楚地将加密/散列讨论与陈述我的偏好 w/r/t 算法分开。
【讨论】: