密码存储与传输的那些事儿(四)Scrypt&Argon2密码哈希

最新推荐文章于 2024-08-10 07:31:08 发布
最新推荐文章于 2024-08-10 07:31:08 发布
阅读量3.2k 收藏 4
点赞数
分类专栏: 安全 文章标签: SCrypt 密码哈希 Argon2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jjxojm/article/details/81879253
版权
本文介绍了Scrypt和Argon2两种先进的密码哈希算法,对比了它们的安全性和参数设置。Scrypt利用PBKDF2算法,通过N、p、r参数调整CPU和内存消耗。Argon2的参数更加量化,包括并发线程、内存大小和迭代次数,提供更直观的定制方式。虽然两者都强调安全与计算时间,但Argon2在JavaScript中的实现目前尚不常见。
摘要由CSDN通过智能技术生成

Scrpyt    

  如前所述,Scrypt密码哈希的安全性要高于Bcrypt,Scrypt内部还使用了PBKDF2算法,具体算法就不深入研究了,其实从Scrypt的入参就可以看出其安全性,具体入参列表如下:

  • Passphrase:待哈希密码
  • Salt:盐,推荐不小于16字节
  • N:CPU/内存消耗指数,一般取值为2的若干次方,例如16384
  • p:并行计算参数,理论上取值范围为1-255,参数值越大越依赖于并发计算
  • r:表块大小,理论取值范围为1-255,同样越大越依赖内存与带宽
  • dkLen: 表最终生成的结果长度。

      以JAVA代码为例,使用如下Scrypt库

<dependency>
      <groupId>com.lambdaworks</groupId>
      <artifactId>scrypt</artifactId>
      <version>1.4.0</version>
</dependency>

      示例代码如下:

String pwd = "123456";
byte[] salt = new byte[16];
SecureRandom.getInstance("SHA1PRNG").nextBytes(salt);
long time = new Date().getTime();
System.out.println(toHexString(SCrypt.scrypt(pwd.g
最低0.47元/天 解锁文章
DreamerJ
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
argon2_elixir, 用于Argon2密码散列算法的Elixir包装器.zip
09-17
argon2_elixir, 用于Argon2密码散列算法的Elixir包装器 Argon2Argon2密码散列 Elixir 。Argon2密码散列竞争的官方赢家,是一个数年的项目,用于标识 Bcrypt/Pbkdf2/Scrypt 密码散列方法的后继。这个库可以单独使用,也可以与 Comeonin插件一
Argon2PasswordEncoder使用
远道的博客
11-24 843
Argon2PasswordEncoder官方详解 加密 //unencryptedPassword 未加密的密码 //encryptionPwd 加密后的密码 PasswordEncoder pwdEncoder = new Argon2PasswordEncoder(); String encryptionPwd = passwordEncoder.encode(unencryptedPassword) 比较密码 // encryptionPwd-->数据库存储的加密后的密码 //unenc
使用Node.js中的Argon2库:一份详尽指南
最新发布
gitblog_00477的博客
08-10 429
使用Node.js中的Argon2库:一份详尽指南 node-argon2Node.js bindings for Argon2 hashing algorithm项目地址:https://gitcode.com/gh_mirrors/no/node-argon2 项目介绍 Argon2 是一个获奖的密码散列函数,以其在抵抗现代密码攻击方面的强大能力而闻名。在Node.js环境中,我们通常依赖于...
Java Spring中的三个密码加密库包
m0_69860228的博客
05-14 1171
每当您需要在应用程序中实现密码哈希或散列时,您应该牢记一些最佳实践。 永远不要自己实现密码哈希算法——改用经过严格审查的开发人员库!密码学是一个复杂的领域,如果你尝试自己实现一个流行的算法,就会出现很多问题。 随着计算机每年变得越来越强大,密码哈希算法(及其参数)需要调整!现代密码哈希算法依赖于您(作为开发人员)来指定他们在计算哈希时应该使用多少资源,并且随着时间的推移,您将需要更新这些参数。掌握此类情况的唯一方法是紧跟最新的安全新闻和趋势。 在决定如何存储敏感密码时,你应该考虑的第一件事是你是否想自己
在 Java 中对密码进行哈希处理
allway2的博客
09-06 1624
随着计算机功能的增加,以及我们发现新的漏洞,研究人员会推导出新版本的 SHA。接下来,我们将看看 SHA-512,它是 Secure Hash Algorithm 系列的一部分,该系列始于 1993 年的 SHA-0。具有所有个属性的哈希函数是密码哈希的有力候选者,因为它们一起极大地增加了从哈希中逆向工程密码的难度。最后,我们看到 Spring Security 附带了它的密码加密类,实现了一系列不同的哈希函数。我们将快速了解它是什么,为什么它很重要,以及在 Java 中执行它的一些安全和不安全的方法。
密码的常见加密方式,你都了解多少?
热门推荐
程序羊的博客
03-24 2万+
作为一名Web开发人员,我们经常需要与用户的帐号系统打交道,而这其中最大的挑战就是如何保护用户的密码密码是一个网站系统最重要的护盾,如果把网站系统比作城堡,那密码就是城门。关于如何安全的存储密码以及使用何种算法总是有很多的争论:MD5、SHA1,SHA256、PBKDF2,Bcrypt、ScryptArgon2、明文??
phc-argon2:following遵循PHC字符串格式的Node.JS Argon2密码哈希算法
05-13
:locked: 遵循PHC字符串格式的Node.JS Argon2密码哈希算法。 编码为 :red_heart: 作者( 。 PHC字符串格式 PHC字符串格式是一种尝试,它指定一种公共哈希字符串格式,该格式是Modular Crypt Format的受限且定义明确...
argon2-cffi:适用于Python的安全密码哈希
02-06
**argon2-cffi:Python中的安全密码哈希** 在网络安全领域,保护用户密码的安全性是至关重要的。Python作为广泛使用的编程语言,提供了多种库来帮助开发者实现这一目标。`argon2-cffi`就是其中之一,它是一个高效且...
rust-argon2-Argon2密码哈希函数的Rust实现-Rust开发
05-27
Rust-argon2 Rust库,用于使用Argon2密码进行哈希处理,这是赢得了密码哈希竞赛(PHC)的密码哈希函数。 用法u Rust-argon2 Rust库使用Argon2来对密码进行哈希处理,这是赢得了密码哈希竞赛(PHC)的密码哈希函数...
node-argon2:Argon2哈希算法的Node.js绑定
04-27
可以使用Argon2i(默认),Argon2d和Argon2id进行哈希,并验证密码是否与哈希匹配。 哈希密码: const argon2 = require ( 'argon2' ) ; try { const hash = await argon2 . hash ( "password" ) ; } catch ( err...
使用Argon2进行加解密
weixin_42932323的博客
11-23 2406
所需架包 <dependency> <groupId>de.mkammerer</groupId> <artifactId>argon2-jvm</artifactId> <version>2.4</version> </dependency> 代码工具类 import org.springframework.security.crypto.password.PasswordEncoder; imp
让我们谈谈密码哈希
allway2的博客
09-06 1121
如果我的目标是 0.5 秒的密码散列时间,那么我可以将其提高到 256 MiB (N=65536 (2 16 ), r=8, p=1) 或 2 GiB (N=2097152 (2 21 ), r =8, p=1),如果针对对称密钥派生的目标只是略多于 5 秒。请注意,对于 bcrypt,这意味着对于密码散列,因子 13 将提供大约 0.5 秒的成本来散列密码,而因子 16 将使我接近创建基于密码的大约 5 秒的成本钥匙。此外,您不应该推出自己的“密钥拉伸”算法,例如递归地散列您的密码摘要和其他输出。
使用 Argon2 的 Java 密码散列
allway2的博客
09-06 2141
的获胜者,这是一种有意占用资源(CPU、内存等)的单向哈希函数。在 Argon2 中,我们可以配置盐的长度、生成的哈希长度、迭代次数、内存成本和 CPU 成本,以控制哈希密码所需的资源。Argon2dArgon2iArgon2id阅读此。现代硬件(CPU 和 GPU)越来越好,越来越便宜。消费级 CPU,如 AMD Ryzen Threadripper,每年都在增加内核,例如 AMD 3990X 有 64 个内核,128 个线程。此外,由于加密货币挖矿的兴起GPU 不断发展,或专用可以每秒执行。
SpringCloud(一) 微服务安全实战 API安全机制
xy294636185的博客
03-30 903
开发环境: JDK,STS,MySql PGA(Promethus,Grafana,AlertManager) ELK(Elastic Search, 1.判断当前请求是否需要身份认证 没有返回401 2.判断有没有权限 没有返回403 访问控制 ACL:Access Control Lists:简单易用,实现容易。无法满足复杂的业务需求,不易管理 RBAC:Role Based Access Control:引入角色(客服)概念,简化管理。开发起来相对于ACL复杂 ...
Android Web3j OOM解决
weixin_34396103的博客
07-15 268
在Android客户端使用Web3j创建钱包、导入钱包时都可能会产生OOM,相关issue在Github上已经有所提及:https://github.com/web3j/web3j/issues/299 。这个问题在Web3j 3.0版本以前是没有的,由于 新版的Web3j使用spongycastle库替换了lambdaworks库,虽然在效率上提升了速度,但存在Android端的兼容性问题。 本...
Android 低端手机使用SCrypt算法过慢之解决方法
Lucas的博客
07-06 844
Android 低端手机使用SCrypt算法过慢之解决方法 问题描述: 最近在做BTC钱包项目,其中会用到一个SCrypt的加密方法,but在高端机上面 运行速度还算可以,但是在低端机手机上简直不能忍,十几分钟过去了 还在算。所以得用C的代码去运行这个方法。 百度之后大部分是用编译器把C代码打成so包放进去,但是觉得这样很麻烦,而且跨Module之后需要引用 就很麻烦,不如直接把依赖中的S...
argon2_密钥派生功能简介:Argon2Scrypt和PBKDF2
编程故事的地方
05-04 1385
argon2 密钥派生函数或KDF从秘密值派生一个或多个秘密密钥。 因此,如果您曾经需要在数据库中存储密码或通过密码创建私钥,则可能使用了KDF。 例如,一些流行的KDF的示例: 氩气2 加密 PBKDF2 密钥派生功能是大多数Web应用程序所必需的。 使用纯文本或弱哈希密码存储的站点数量令人恐惧。 如果某个站点通过电子邮件向您发送了密码副本,请运行! KDF只是哈...
scrypt算法的前世今生(从零开始学区块链 192)
区块链大师
08-24 5332
当我们谈论某某币使用某算法时,大部分是指其使用的hash算法,hash算法在工作量证明中是核心算法,工作量证明是维护公链免于中心化倾向的重要保证,今天介绍一下scrypt这种内存依赖型hash算法hash算法想必大家都不陌生,以前的文章有介绍,也称为散列算法,是信息技术领域非常基础也非常重要的技术。它能将任意长度的二进制值(明文)映射为较短的固定长度的二进制值(Hash 值),并且不同的明文很难映
Argon2如何使用
06-02
Argon2是一个密码哈希函数,它的安全性比较高,可以用于存储用户密码等敏感信息。下面是一个使用Argon2的Python示例: 首先,需要安装argon2-cffi库: ``` pip install argon2-cffi ``` 然后就可以使用Argon2来进行密码哈希了,示例代码如下: ```python import argon2 # 生成一个随机盐值 salt = argon2.low_level.generate_salt() # 使用密码和盐值来生成哈希值 password = "my_password" hash_value = argon2.low_level.hash_secret(password.encode(), salt) # 验证密码是否正确 is_correct = argon2.low_level.verify_secret(hash_value, password.encode()) if is_correct: print("密码正确") else: print("密码错误") ``` 在上面的示例中,首先使用`argon2.low_level.generate_salt()`函数生成一个随机的盐值,然后使用`argon2.low_level.hash_secret()`函数将密码和盐值一起进行哈希,生成哈希值。最后,使用`argon2.low_level.verify_secret()`函数来验证密码是否正确。 需要注意的是,Argon2提供了多个参数,可以通过调整这些参数来提高安全性。在实际使用中,需要根据具体的应用场景来确定这些参数的值。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值