盐水会提高安全性吗？

发布于 2025-02-07 13:04:48 字数 470 浏览 2 评论 0原文

我必须哈希密码，因为我使用了bcrypt。通过遵循教程，我找到了此代码：

const saltRounds = 10;
    bcrypt.hash(password, saltRounds).then(hashedPassword => {
    //...
}

我搜索了什么是Saltround及其建议，直到我在这里找到什么是盐回合，如何存储在bcrypt？您可以控制哈希密码所需的时间。

这是否意味着您只需一个属性Saltrounds即可控制隐秘密码的强度？

原文

I had to hash my password, for that i used bcrypt.
By following a tutorial, i found this code :

const saltRounds = 10;
    bcrypt.hash(password, saltRounds).then(hashedPassword => {
    //...
}

I googled what is saltRound and what's its propos, till i found here
What are Salt Rounds and how are Salts stored in Bcrypt? that you can control the time it takes to hash your passwords.

Does this mean you can control the strength of crypted passwords with just one property saltRounds ?

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

九八野马 2025-02-14 13:04:48

是的，BCRypt的更多工作确实提高了密码安全性。增加工作因素的全部目的是提供增加。

较高的BCrypt工作因素在上改善了密码安全性，因为单个用户级别，因为很难单独破解每个用户的哈希（如果攻击者只对一个特定帐户感兴趣）。没有哈希 /因素将保护密码极为弱，但是更强大的哈希有更大的机会通过较弱 /中间的密码强度范围扩展保护“向下”保护。

更强大的工作因素还可以在汇总安全级别（对于整个目标用户集）上提高密码安全性。这是因为较高的bcrypt工作因素使攻击在整个集合中都变得更加困难 - 尤其是随着用户数量的增长。需要越多的计算 /内核 /内存，攻击者的昂贵（时间和资源）越昂贵。

当然，权衡的是，攻击者的更多工作（难以破解）也意味着对后卫 /维护者（有效身份验证的较高资源成本）也意味着更多的工作。重要的是要调整您的工作因素，即您和您的用户都可以忍受的最高因素，包括“身份验证风暴”（所有用户都需要同时重新认证）等最坏情况。 BCRYPT的成本为12，目标延迟为0.5秒，通常是这些因素的良好平衡 - 但是您需要评估（和测试！）为自己的用例进行评估。

奖励建议：确保您的图书馆和支持代码可以同时支持。随着硬件的速度更快，您需要增加新/重置密码的工作因素，同时支持现有密码。幸运的是，大多数库都透明地处理了这一问题 - 但是，再次测试您自己的用例。