Cha*_*ish 6 security passwords hash bcrypt
所以 Bcrypt 对密码的长度确实有限制。我已经阅读了很多关于此的内容。我不明白的一件事是大多数网站如何绕过这个。
我注意到的大多数网站都没有最大密码长度。也许我对此完全错误,但这正是我所注意到的。Bcrypt 似乎是此类事物中最受欢迎的库之一。
那么,所有这些网站是否只是不提醒用户,而 Bcrypt 正在将密码削减到最大字符限制而不提醒用户呢?或者他们正在使用一些特殊技术来允许更长的密码?
我只是想弄清楚如何最好地实现这一点。我希望没有最大字符数限制。但与此同时,我想直接告诉用户,如果 Bcrypt 正在削减密码,用户应该知道这一点。
对于如何在实践中处理这种限制有什么建议吗?
我认为首次运行 SHA-512 没有问题。
根据 NIST SP 800-63-3 草案文件“数字身份验证指南”,密码应接受(并使用)至少 64 个字符,如果接受更多字符,则不得被截断。
实际上,NIST 建议将 PBKDF 与 SHA-1、SHA-2 系列、SHA-3 系列中的任何一个一起使用,即使使用 SHA1,基本上也不会发生冲突,即使存在冲突,对于密码哈希也不是问题。关键是迭代计数来减慢攻击者的速度。
阅读链接答案中 @ilkkachu 的答案评论。
| 归档时间: |
|
| 查看次数: |
1689 次 |
| 最近记录: |