那些遇到过的问题

为什么BCrypt生成的哈希是非确定性的

Kel*_*ron 2 security bcrypt.net

我过去曾使用过许多不同的哈希算法,但我认为它们都是确定性的.

我刚刚切换了一些代码来使用BCrypt.Net,我不得不承认,当我的所有比较测试都失败时,我完全被困住了.

在我的测试中查找错误的尴尬时间后,我意识到我的假设哈希是确定性的是完全错误的.有一种有效的验证方法,它很容易修复代码,但我想了解更好的内容.

它是在内部腌制价值还是其他事情在继续?

在此输入图像描述

  • 请注意我在我的真实代码中腌制这个 - 这只是一个测试

bob*_*nce 6

它是在内部腌制价值观吗?

是的.bcrypt不仅仅是一个原始哈希函数,它包含salt和一些其他位,以允许在没有额外输入的情况下验证哈希:

$2a$12$q6r.MpvzPrUszrWLgaRdlOs04kPcjk0syCDelrzES9O8.UNlHON.u
 ^^ ^^ ^^^^^^^^^^^^^^^^^^^^^^
 |  |  \- salt
 |  \---- work factor
 \------- format
Run Code Online (Sandbox Code Playgroud)

您正在使用的API不会暴露它,因为您通常不需要操作盐,但它就在那里,您不需要添加自己的API.

归档时间:

查看次数:

937 次

最近记录:

10 年,1 月 前
相关归档
您的密码在LDAP中有多安全? 16
开放,安全的TCP通道有多长时间安全? 6
如何让每个用户根据他们在JAAS中的权限/角色访问特定位置的资源? 6
Apache Webserver安全性和优化提示 5
我们真的从CSRF中获得了保障吗? 5
Android 4.3:如何检查用户是否启用了锁定? 5
使用电子邮件安全密码重置网址? 5
如何防止对 couchdb 的蛮力攻击? 5
将 SessionHandlerInterface 与 MySQL 数据库一起使用...请告知 4
Spring Security LDAP配置 4
难疑归档
如何在shell脚本中打印JSON? 2905
设置JavaScript函数的默认参数值 2277
你如何断言在JUnit 4测试中抛出某个异常? 1915
Python join:为什么是string.join(list)而不是list.join(string)? 1669
我如何递归grep? 1619
Java是否支持默认参数值? 1569
Git如何处理符号链接? 1515
在YAML中,如何在多行中断字符串? 1388
int32的最大值是多少? 1383
如何从"Bobby Tables"XKCD漫画中注入SQL? 1070