自从2010年问世以来,我一直在使用jBCrypt版本0.3开箱即用.我使用默认的getalt()方法将"log_rounds"的数量设置为10.鉴于密码破解硬件的进展和方法,这个值仍然适合作为默认值,或者我应该看一些更高的值.
来自javadoc的信息......
String pw_hash = BCrypt_v03.hashpw(plain_password, BCrypt_v03.gensalt());
String strong_salt = BCrypt_v03.gensalt(10)
String stronger_salt = BCrypt_v03.gensalt(12)
工作量呈指数增长(2**log_rounds),因此每个增量是工作量的两倍.默认log_rounds为10,有效范围为4到31.
我已经按照强化您的网络服务器ssl密码指南建议使用
ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AES:RSA+3DES:!ADH:!AECDH:!MD5:!DSS
但是我正在尝试配置基于纯Java(Tomcat,Jetty)的WebServer,而不是基于Apache或OpenSSL的Web服务器.如何确定哪个JSSE密码名称对应的结果
openssl ciphers -V 'ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AES:RSA+3DES:!ADH:!AECDH:!MD5:!DSS'