密码哈希函数Bcrypt的最大密码长度限制

最新推荐文章于 2024-01-29 22:25:30 发布
最新推荐文章于 2024-01-29 22:25:30 发布
阅读量1w 收藏 4
点赞数 1
分类专栏: 安全 文章标签: 密码 Bcrypt Blowfish 密码长度
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chszs/article/details/60970765
版权

密码哈希函数Bcrypt的最大密码长度限制

Bcrypt是一个很流行的密码哈希算法,是Niels Provos和DavidMazières基于Blowfish加密算法设计的密码哈希算法,于1999年在USENIX协会上提交。Bcrypt在设计上包含了一个盐Salt来防御彩虹表攻击,还提供了一种自适应功能,可以随着时间的推移,通过增加迭代计数以使其执行更慢,使得即便在增加计算能力的情况下,Bcrypt仍然能保持抵抗暴力攻击。

Bcrypt是OpenBSD和SUSE Linux等操作系统默认的密码哈希算法。但是在使用Bcrypt算法的实现时,要注意它有最大密码长度限制,通常为50~72字符,准确的长度限制取决于具体的Bcrypt实现。超过最大长度的密码将被截断。

下面使用Spring Security的BCryptPasswordEncoder为例:

BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
// 72 字符
String password1 = "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa";
// 73 字符
String password2 = "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaab";
String encodedPassword1 = passwordEncoder.encode(password1);
boolean matches = passwordEncoder.matches(password2, encodedPassword1);
System.out.println("encodedPassword1: " + encodedPassword1);
System.out.println("matches: " + matches);

当运行程序时,会输出这样的结果:

encodedPassword1: $2a$10$A5OpVKgjEZzmy6UNsqzkjuG2xGET1wp3b/9ET5dz/tHQ3eRvyXSSO
matches: true

这证明了Password字符串超过72字符的部分被截断丢弃了。

要解决Bcrypt密码算法72字符长度限制的问题,可以这样:
先使用SHA-256算法对字符串进行加密,再使用Bcrypt算法加密,用伪码示意如下:

hashpw(sha256('password'), salt);
chszs
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
密码哈希:密码哈希函数KDF
02-21
RustCrypto:密码哈希 用纯Rust编写的密码哈希算法的集合,也称为基于密码的密钥派生函数。 支持的算法 姓名 Crates.io 文献资料 建造 执照 根据以下任何一项许可的所有包装箱 由您选择。 贡献 除非您明确声明,否则任何有意提交以供您包括在工作中的贡献均应按照Apache-2.0许可中的定义
密码哈希函数 Bcrypt最大密码长度限制详解
08-31
主要介绍了密码哈希函数 Bcrypt最大密码长度限制详解的相关资料,需要的朋友可以参考下
密码加密——MD5与BCryptPasswordEncoder
最新发布
zyxzyx666的博客
01-29 771
MD5讯息摘要演算法(英语:MD5 Message-Digest Algorithm),一种被广泛使用的密码杂凑函数,可以产生出一个128位元(16位元组)的散列值(hash value),用于确保信息传输完整一致。BCryptPasswordEncoder加密,BCrypt 是一种密码散列函数,即单向函数。且每次加密过后的值都不一样!
存储用户密码应该使用什么加密算法?比较合适
m0_49496327的博客
04-22 3161
概述 编程开发中,像用户登录注册这种功能很常见,那么对于用户密码处理,我们该选择什么样的加密算法呢?在这种场景下,算法需要满足下面两个条件: 算法需不可逆,这样才能有效防止密码泄露。 算法需相对慢,可以动态调整计算成本,缓慢是应对暴力破解有效方式。 目前来看有这么几个算法PBKDF2、BCrypt和SCrypt可以满足。我们先看下旧的密码加密方式。 旧的加密 过去密码加密常用MD5或者SHA。MD5是早期设计的加密哈希,它生成哈希速度很快,随着计算机能力的增强,出现了被破解的情况,所以又...
BCrypt算法实现密码加密
起feng了~'s blog
06-30 393
BCrypt密码加密 BCrypt比MD5安全,因为其内部引入加盐(29个随机字符)了机制。 import org.springframework.security.crypto.bcrypt.BCrypt; public class testBCrypt { public static void main(String[] args) { //1.加密(用户密码加密:当把用户的密码存入数据库中时,进行加密) //获取盐 String gensalt
最安全的加密算法 Bcrypt,再也不用担心数据泄密了~
m0_74931226的博客
12-28 339
因为hash算法是固定的,所以同一个字符串计算出来的hash串是固定的,所以,可以采用如下的方式进行破解。暴力枚举法:简单粗暴地枚举出所有原文,并计算出它们的哈希值,看看哪个哈希值和给定的信息摘要一致。字典法:黑客利用一个巨大的字典,存储尽可能多的原文和对应的哈希值。每次用给定的信息摘要查找字典,即可快速找到碰撞的结果。彩虹表(rainbow)法:在字典法的基础上改进,以时间换空间。是现在破解哈希常用的办法。
Bcrypt 加密算法研究与对比
x2hg123的博客
08-12 2273
Bcrypt 加密算法研究与对比一、什么是Bcrypt二、Bcrypt如何加密与验证?(一)encode方法加密:(二)matches方法验证:三、如果使用彩虹表进行hash碰撞攻击会如何?四、比较MD5加密算法的缺陷:相对于MD5,Bcrypt加密算法的特点:各种加密算法的比较参考:五、数据库迁移是否有问题? 一、什么是Bcrypt 1、bcrypt,是一个跨平台的文件加密工具。由它加密的文件可在所有支持的操作系统和处理器上进行转移。它的口令必须是8至56个字符,并将在内部被转化为448位的密钥。 2、B
BCrypt算法的基础使用
m0_53856016的博客
11-10 857
使用同一个原文进行反复编码,每次得到的结果都是不同的,因为在编码过程中,BCrypt使用了随机的盐,并且,使用的盐也作为编码结果的一部分保存了下来。随机生成一个含有29个字符的字符串,并且会与密码一起合并进行最终的密文生成。BCrypt算法是一种基于哈希算法的算法,所以,这种算法也是不可逆的!密码并未改变都是123456,而加密后的密文每一次的结果都不同的。通过BCrypt算法进行编码后的结果,长度固定为60字符。可以看出生成的不同密文最终的匹配结果都是true.每一次生成的盐的值都是不同的。
浅谈BCrypt算法
weixin_72125569的博客
09-05 2041
BCrypt算法的简单使用
安全存储密码的5条简单规则
danpu0978的博客
04-23 322
太多时候,系统被黑客入侵,其用户数据库也遭到破坏。 尽管有大量资源可用于正确存储用户凭据,但在很多情况下,数据库包含纯文本密码 , 哈希值低的密码或双向加密密码 。 不仅是遗留数据库; 就在本周,我看到了一个Reddit线程 ,至少有一个开发人员主张自定义哈希函数和“默默无闻的安全性”。 尽管密码学是一门复杂的学科,但您无需成为专家就可以很好地管理用户的凭据。 选择方案时,只需遵循以下简...
bcrypt:BCrypt密码哈希功能的Swift实现
05-17
BCrypt 软件包中使用的BCrypt密码哈希函数的Swift实现。用法杂凑 import BCryptlet digest = try BCrypt. Hash . make ( message : " foo " )print (digest. string )核实 import BCryptlet digest = " $2a$04$TI13...
密码哈希函数的汇编实现.zip
03-28
密码哈希函数的汇编实现
密码学系列 – 哈希算法
01-08
哈希算法将任意长度的二进制值映射为较短的固定长度的二进制值,这个小的二进制值称为哈希值。哈希值是一段数据唯一且极其紧凑的数值表示形式。如果散列一段明文而且哪怕只更改该段落的一个字母,随后的哈希都将产生...
如何彻底清除UniAccess Agent
热门推荐
chszs的专栏
08-20 4万+
如何彻底清除UniAccess Agent作者:chszs,转载需注明。博客主页:http://blog.csdn.net/chszsUniAccess Agent是联软科技公司推出的一款企业网络监控软件。用它可以建立网络准入控制系统yuiji加强桌面电脑的安全管理。UniAccess Agent是出了名的难以卸载。但我无意中发现了卸载UniAccess Agent的好办法。1、登录Ubuntu系
MySQL的用户密码过期功能详解
chszs的专栏
02-11 4万+
MySQL的用户密码过期功能详解作者:chszs,未经博主允许不得转载。经许可的转载需注明作者和博客主页:http://blog.csdn.net/chszs先说明两个术语。Payment Card Industry,即支付卡行业,PCI行业表示借记卡、信用卡、预付卡、电子钱包、ATM和POS卡及相关的业务。 PCI DSS,即PCI数据安全标准(Payment Card Industry Dat
CentOS 7防火墙服务FirewallD指南
chszs的专栏
01-16 1万+
CentOS 7防火墙服务FirewallD指南作者:chszs,未经博主允许不得转载。经许可的转载需注明作者和博客主页:http://blog.csdn.net/chszs防火墙是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。防火墙通常工作在网络层,也即IPv4或IPv6的IP包上。是否允许包通过防火墙,取决于防火墙配置的规则。这
2014年值得关注的10个开源项目(下)
chszs的专栏
01-31 1万+
2014年值得关注的10个开源项目(下)作者:chszs,转载需注明。博客主页:http://blog.csdn.net/chszs七、serverspec官网:http://serverspec.org/serverspec是面向Puppet、Chef或其它配置管理工具的,用于测试服务器的配置是否正确。它可以编写RSpec测试。注:RSpec是一个基于Ruby语言的测试工具,它高举行为驱动开发的
用户帐号密码的加密方法
07-12
用户账号密码的加密方法有很多种,以下是一些常用的方法: 1. 哈希函数(Hash Function):使用哈希函数将用户的密码转化为固定长度的哈希值。常用的哈希函数有MD5、SHA-1、SHA-256等。但需要注意的是,由于哈希函数是单向函数,无法还原原始密码,因此在验证用户密码时,需要将用户输入的密码进行相同的哈希运算,再与存储的哈希值进行比对。 2. 盐值(Salt):为了增加密码的安全性,可以在密码哈希之前,将一个随机生成的盐值与密码进行连接。盐值可以使每个用户的相同密码在哈希后得到不同的结果,增加破解的难度。 3. 加密算法(Encryption Algorithm):使用对称或非对称加密算法对用户密码进行加密。对称加密算法如AES、DES等,使用相同的密钥进行加密和解密;非对称加密算法如RSA、ECC等,使用公钥加密和私钥解密。在使用加密算法时,需要注意保护好密钥的安全性。 4. 密钥派生函数(Key Derivation Function):通过将用户密码与一个随机生成的盐值进行混合,并通过多次迭代计算,生成一个用于加密或验证的密钥。常用的密钥派生函数有PBKDF2、bcrypt、scrypt等。 以上方法可以根据实际需求和安全级别的要求进行选择和组合使用。同时,为了进一步提升密码的安全性,还可以采取其他措施,如密码策略的限制、多因素认证等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值