我应该更喜欢具有较长输出的哈希算法来存储密码吗？

Question

我正在构建一个安全性比较重要的网站（话又说回来，什么时候安全性不重要？），并且我一直在寻找存储密码的最佳方法。我知道 MD5 和 SHA-1 一样存在冲突问题，因此我正在考虑通过 SHA-256 或 SHA-512 存储我的密码。

存储较长的哈希变体比存储较小的哈希变体更明智吗？ （即 512 与 256）与 SHA-256 编码的密码相比，破解 SHA-512 编码的密码是否需要更多的时间？

另外，我读过有关使用“盐”作为密码的内容。这是什么以及它是如何工作的？我是否只需将盐值存储在另一个数据库字段中？如何将其用作哈希值计算的一部分？

Answer 1

对于密码存储，您需要的不仅仅是哈希函数；您需要：

• 一个极其慢的哈希函数（以便暴力攻击更加困难）
• 和一个盐：一个公开的值，沿着哈希存储，每个哈希密码都是不同的，并进入密码哈希过程。盐可以防止攻击者有效地攻击多个密码（例如使用预先计算的哈希表）。

所以你需要bcrypt。

对于哈希输出大小：如果该大小为 n 位，则 n 应使得攻击者无法实际计算哈希函数 2ⁿ 次； 80 位就足够了。因此 128 位的输出已经有些过大了。您仍然不想使用 MD5，因为它太快了（尽管 100000 次 MD5 嵌套调用可能足够慢），并且因为在 MD5 中发现了一些结构性弱点，这些弱点不会直接影响其散列密码的安全性，但公共关系仍然很糟糕。无论如何，你应该使用 bcrypt，而不是自制的结构。

Answer 2

这里的一些答案给了你可疑的建议。我建议您前往 IT Security Stack Exchange 并搜索“密码哈希”。您会发现很多建议，其中大部分已经过安全堆栈交换人员的仔细审查。或者，你可以听@Thomas Pornin，他知道他在说什么。

Answer 3

碰撞与您的场景无关，因此 MD5 的弱点与您的场景无关。然而，最重要的是使用需要很长时间计算的哈希。阅读 http://codahale.com/how-to-safely-store-a -password/ 和 http://www.jasypt.org/howtoencryptuserpasswords.html （即使您不使用 Java，这些技术仍然有效）。

无论如何，我都会远离 MD5，因为还有其他表现同样好的哈希值。