密码哈希函数 Bcrypt的最大密码长度限制详解
(福利推荐:你还在原价购买阿里云服务器?现在阿里云0.8折限时抢购活动来啦!4核8G企业云服务器仅2998元/3年,立即抢购>>>:9i0i.cn/aliyun)
密码哈希函数 Bcrypt的最大密码长度限制
Bcrypt是一个很流行的密码哈希算法,是Niels Provos和DavidMazières基于Blowfish加密算法设计的密码哈希算法,于1999年在USENIX协会上提交。Bcrypt在设计上包含了一个盐Salt来防御彩虹表攻击,还提供了一种自适应功能,可以随着时间的推移,通过增加迭代计数以使其执行更慢,使得即便在增加计算能力的情况下,Bcrypt仍然能保持抵抗暴力攻击。
Bcrypt是OpenBSD和SUSE Linux等操作系统默认的密码哈希算法。但是在使用Bcrypt算法的实现时,要注意它有最大密码长度限制,通常为50~72字符,准确的长度限制取决于具体的Bcrypt实现。超过最大长度的密码将被截断。
下面使用spring Security的BCryptPasswordEncoder为例:
BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder(); // 72 字符 String password1 = "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa"; // 73 字符 String password2 = "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaab"; String encodedPassword1 = passwordEncoder.encode(password1); boolean matches = passwordEncoder.matches(password2, encodedPassword1); System.out.println("encodedPassword1: " + encodedPassword1); System.out.println("matches: " + matches);
当运行程序时,会输出这样的结果:
encodedPassword1: $2a$10$A5OpVKgjEZzmy6UNsqzkjuG2xGET1wp3b/9ET5dz/tHQ3eRvyXSSO matches: true
这证明了Password字符串超过72字符的部分被截断丢弃了。
要解决Bcrypt密码算法72字符长度限制的问题,可以这样:
先使用SHA-256算法对字符串进行加密,再使用Bcrypt算法加密,用伪码示意如下:
hashpw(sha256('password'), salt);
感谢阅读,希望能帮助到大家,谢谢大家对本站的支持!
相关文章
nasm实现的用vmware运行自做的linux启动盘的引导代码
这个小的代码的编写和运行还是能让自己对系统启动有一个更深的认识,不过有个不懂的就是怎么用ISO镜像文件启动,怎么将引导代码写入ISO镜像文件,依然没有找到很好的方法解决2013-04-04uniApp微信小程序使用腾讯地图定位功能及getLocation需要在app.json中声明permission字段问
这篇文章主要介绍了uniApp微信小程序使用腾讯地图定位功能及getLocation需要在app.json中声明permission字段问题解决,需要的朋友可以参考下2022-12-12微信支付jsapi缺少参数 total_fee 错误分析与解决方法
这篇文章主要介绍了微信支付jsapi缺少参数 total_fee 错误分析与解决方法,需要的朋友可以参考下2018-03-03
最新评论