密码哈希：PBKDF2（使用 sha512 x 1000）与 Bcrypt

Question

我一直在阅读有关 Gawker 事件的文章，并且出现了几篇有关仅使用 bcrypt 进行哈希的文章密码，我想确保我的散列机制足够安全，以避免切换到另一种方法。在我当前的应用程序中，我选择了使用 sha2-512 和至少 1000 次迭代的 PBKDF2 实现。

我可以询问有关使用 PBKDF2 与 Bcrypt 的意见以及我是否应该实施更改？

Answer 1

从 2022 年开始，最好切换到内存困难的函数，例如 scrypt 或 Argon2。 Bcrypt 也可能是一种选择，但它并不难记忆。

至于 PBKDF2，在 2000 年就建议使用 1000 次迭代，现在您可能想要更多。

另外，使用 bcrypt 时应该更加小心：

还值得注意的是，虽然 bcrypt 对于大多数类型的密码都比 PBKDF2 更强，但它在长密码方面却落后了；这是因为 bcrypt 无法使用超过前 55 个字符的密码，而我们的估计成本和 NIST 的 .
密码熵的估计表明 bcrypt 的 55 个字符限制并不存在
目前可能会导致问题，依赖于
最好建议 bcrypt 要么解决此限制（例如，通过“预哈希”密码短语以使其适合 55 个字符的限制），要么采取措施
防止用户在第 56 个及后续密码中放置过多的密码熵
字符（例如，通过要求网站用户在输入框中输入密码
框只能容纳 55 个字符）。

来自 scrypt 论文 [PDF]

也就是说，还有 scrypt。

如果没有上述 scrypt 论文中的表格，任何比较都是不完整的：

使用的 PBKDF2-HMAC-SHA256 的迭代计数为 86,000 和 4,300,000。

Answer 2

评论（回复：标题）：

• 除非必须，否则不要使用加密（可逆）来存储密码。
• 由于您提供了哈希（不可逆）选项作为替代方案，我认为您不需要可逆性。

关于使用 PBKDF2 与 Bcrypt 的意见
我是否应该实施
改变？

我的意见：

使用 PBKDF2 而不是 Bcrypt。 （我只是对SHA比Blofish更有信心，没有任何理由）

至于你是否应该“实施改变”，我不知道你在问什么。

编辑以更清楚地将加密/散列讨论与陈述我的偏好w/r/t算法分开。