密码哈希函数 Bcrypt的最大密码长度限制详解
<p><strong>密码哈希函数 Bcrypt的最大密码长度限制</strong></p><p>Bcrypt是一个很流行的密码哈希算法,是Niels Provos和DavidMazières基于Blowfish加密算法设计的密码哈希算法,于1999年在USENIX协会上提交。Bcrypt在设计上包含了一个盐Salt来防御彩虹表攻击,还提供了一种自适应功能,可以随着时间的推移,通过增加迭代计数以使其执行更慢,使得即便在增加计算能力的情况下,Bcrypt仍然能保持抵抗暴力攻击。</p>
<p>Bcrypt是OpenBSD和SUSE Linux等操作系统默认的密码哈希算法。但是在使用Bcrypt算法的实现时,要注意它有最大密码长度限制,通常为50~72字符,准确的长度限制取决于具体的Bcrypt实现。超过最大长度的密码将被截断。</p>
<p>下面使用spring Security的BCryptPasswordEncoder为例:</p>
<div class="jb51code">
<pre class="brush:bash;">
BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
// 72 字符
String password1 = "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa";
// 73 字符
String password2 = "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaab";
String encodedPassword1 = passwordEncoder.encode(password1);
boolean matches = passwordEncoder.matches(password2, encodedPassword1);
System.out.println("encodedPassword1: " + encodedPassword1);
System.out.println("matches: " + matches);
</pre>
</div>
<p>当运行程序时,会输出这样的结果:</p>
<div class="jb51code">
<pre class="brush:bash;">
encodedPassword1: $2a$10$A5OpVKgjEZzmy6UNsqzkjuG2xGET1wp3b/9ET5dz/tHQ3eRvyXSSO
matches: true</pre>
</div>
<p>这证明了Password字符串超过72字符的部分被截断丢弃了。</p>
<p>要解决Bcrypt密码算法72字符长度限制的问题,可以这样: <br />
</p>
<p>先使用SHA-256算法对字符串进行加密,再使用Bcrypt算法加密,用伪码示意如下:</p>
<div class="jb51code">
<pre class="brush:bash;">
hashpw(sha256('password'), salt);</pre>
</div>
<p>感谢阅读,希望能帮助到大家,谢谢大家对本站的支持!</p>
<div class="art_xg">
<b>您可能感兴趣的文章:</b><ul><li>Java使用bcrypt实现对密码加密效果详解</li><li>SpringBoot整合BCrypt实现密码加密</li><li>Spring security BCryptPasswordEncoder密码验证原理详解</li><li>使用mongoose和bcrypt实现用户密码加密的示例</li><li>Express下采用bcryptjs进行密码加密的方法</li><li>PHP更安全的密码加密机制Bcrypt详解</li><li>一文掌握SpringSecurity BCrypt密码加密和解密</li></ul>
</div>
</div>
<!--endmain-->
頁:
[1]