SHA 哈希的最佳临时密码长度

Question

创建“忘记密码”机制时，我们可能希望为用户创建一个使用 SHA1 存储的临时密码（请随意建议其他 C# 加密机制）。

临时密码应该设置多长时间？ 太短了，可能会被暴力破解。 太长并且不必要的长度是多余的，因为字符串无论如何都会被散列？ （因为 20 个字符和 50 个字符的字符串无论如何都会产生相同长度的哈希值）

更新
抱歉，如果这有误导性。 当然，我们可以凭空选出一个数字，但我想知道是否有一个很好的数学理由来选择 13 而不是 12。

Answer 1

我认为这是关于临时密码的好建议：

The权威指南基于表单的网站身份验证

它讨论了避免生成它们，以利于实现用户想要的实际操作。

Answer 2

我一般选择 10 个字符。 没有什么特别的原因，只是我猜测用户选择的密码长度高于平均长度。

仅仅因为它是随机生成的，它可能会比用户选择的任何内容更安全且更难以暴力破解。 人们选择愚蠢的密码，例如 myspace1、stackoverflow1、12341234 等。

Answer 3

如果密码是字母数字字符，那么每个字符只有大约 6 位可用数据，因此您认为密码长度超过 20 个字符是没有意义的，这是错误的。

Answer 4

看来您担心临时密码比用户密码更强……而实际上，像 10 个字符的 base-64（或类似的 - 标点符号等）之类的密码将很难破解，而且强度要强得多比用户将生成的密码......

Answer 5

也将其设置为可变大小（例如 8-12 个字符），这将使暴力破解变得更加困难...如果攻击者知道您返回 X 字符密码，他们所要做的就是尝试所有带有 N 的密码...假设N 很大，这是不切实际的，但是改变 N 的大小至少会让他们变得更加困难。

Answer 6

Steve Gibson 创建了一个“超高安全性密码生成器”。
在该页面上，他在每个页面显示上生成 3 个不同的密码：

• 64 个随机十六进制字符（0-9 和 AF）
• 63 个随机可打印 ASCII 字符
• 63 个随机字母数字字符（az、AZ、0-9）

他还解释了背后的原因这。 这是一本很好读的书。 希望这可以帮助。

Answer 7

按照您的网站为用户推荐的长度进行选择。 当生成随机的 Base64 字符字符串时，我会使用 8 个字符的密码在晚上安全入睡。 但当然，我会将登录尝试限制为每 X 秒一次，并在 Y 次尝试失败后暂时禁用帐户。

请记住在散列之前添加每个用户唯一的salt，以阻止基于数据库的攻击。