密码哈希函数Bcrypt的最大密码长度限制

最新推荐文章于 2024-09-10 11:31:40 发布
转载 最新推荐文章于 2024-09-10 11:31:40 发布 · 598 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/671142
文章标签:

#数据结构与算法

Bcrypt是一种常用的密码哈希算法,具有内置的盐值和可调整的复杂度特性。但Bcrypt存在最大密码长度限制,通常介于50到72字符之间,超出部分会被截断。本文介绍如何使用Spring Security的BCryptPasswordEncoder演示这一限制,并提出通过结合SHA-256和Bcrypt算法来解决长度限制的方法。
版权声明:本文为博主chszs的原创文章,未经博主允许不得转载。 https://blog.youkuaiyun.com/chszs/article/details/60970765

密码哈希函数Bcrypt的最大密码长度限制

Bcrypt是一个很流行的密码哈希算法,是Niels Provos和DavidMazières基于Blowfish加密算法设计的密码哈希算法,于1999年在USENIX协会上提交。Bcrypt在设计上包含了一个盐Salt来防御彩虹表攻击,还提供了一种自适应功能,可以随着时间的推移,通过增加迭代计数以使其执行更慢,使得即便在增加计算能力的情况下,Bcrypt仍然能保持抵抗暴力攻击。

Bcrypt是OpenBSD和SUSE Linux等操作系统默认的密码哈希算法。但是在使用Bcrypt算法的实现时,要注意它有最大密码长度限制,通常为50~72字符,准确的长度限制取决于具体的Bcrypt实现。超过最大长度的密码将被截断。

下面使用Spring Security的BCryptPasswordEncoder为例:

BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
// 72 字符
String password1 = "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa";
// 73 字符
String password2 = "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaab";
String encodedPassword1 = passwordEncoder.encode(password1);
boolean matches = passwordEncoder.matches(password2, encodedPassword1);
System.out.println("encodedPassword1: " + encodedPassword1);
System.out.println("matches: " + matches);

当运行程序时,会输出这样的结果:

encodedPassword1: $2a$10$A5OpVKgjEZzmy6UNsqzkjuG2xGET1wp3b/9ET5dz/tHQ3eRvyXSSO
matches: true

这证明了Password字符串超过72字符的部分被截断丢弃了。

要解决Bcrypt密码算法72字符长度限制的问题,可以这样:
先使用SHA-256算法对字符串进行加密,再使用Bcrypt算法加密,用伪码示意如下:

hashpw(sha256('password'), salt);
密码学基础:哈希函数SHA-256实现
qq_42568323的博客
06-25 105
哈希函数是一种将任意长度输入转换为固定长度输出确定性:相同输入始终产生相同输出高效性:计算速度快,时间复杂度O(n)单向性:从输出无法推导出输入雪崩效应:微小输入变化导致输出巨大变化抗碰撞性:难以找到两个不同输入产生相同输出H01∗→01nH01∗→01n其中nnn为输出长度(SHA-256中n256n=256n256。
密码存储传输的那些事儿(二)bcrypt密码哈希
jjxojm的专栏
08-13 3192
      上一节讲到了密码哈希算法,首先我们从bcrypt入手,之前说到bcrypt算法不需要再生成盐,其实这么说是错误的,应该说bcrypt算法生成的结果自身就包含了盐,而且可以进行算法复杂度参数调整,从而加长了哈希算法执行时间,有效的防止了彩虹表攻击等手段。        本次以Java为例,其他javascript、python等主流语言都有相应的库,相信并不难找,本次用的Java库如下...
密码哈希函数 Bcrypt最大密码长度限制详解
08-31
主要介绍了密码哈希函数 Bcrypt最大密码长度限制详解的相关资料,需要的朋友可以参考下
Bcrypt 加密算法研究对比
x2hg123的博客
08-12 2831
Bcrypt 加密算法研究对比一、什么是Bcrypt二、Bcrypt如何加密验证?(一)encode方法加密:(二)matches方法验证:三、如果使用彩虹表进行hash碰撞攻击会如何?四、比较MD5加密算法的缺陷:相对于MD5,Bcrypt加密算法的特点:各种加密算法的比较参考:五、数据库迁移是否有问题? 一、什么是Bcrypt 1、bcrypt,是一个跨平台的文件加密工具。由它加密的文件可在所有支持的操作系统和处理器上进行转移。它的口令必须是8至56个字符,并将在内部被转化为448位的密钥。 2、B
linux 密码字符长度限制,密码哈希函数 Bcrypt最大密码长度限制详解
weixin_42696271的博客
05-13 1217
密码哈希函数 Bcrypt最大密码长度限制Bcrypt是一个很流行的密码哈希算法,是Niels Provos和DavidMazières基于Blowfish加密算法设计的密码哈希算法,于1999年在USENIX协会上提交。Bcrypt在设计上包含了一个盐Salt来防御彩虹表攻击,还提供了一种自适应功能,可以随着时间的推移,通过增加迭代计数以使其执行更慢,使得即便在增加计算能力的情况下,Bcryp...
密码加密——MD5BCryptPasswordEncoder
zyxzyx666的博客
01-29 2464
MD5讯息摘要演算法(英语:MD5 Message-Digest Algorithm),一种被广泛使用的密码杂凑函数,可以产生出一个128位元(16位元组)的散列值(hash value),用于确保信息传输完整一致。BCryptPasswordEncoder加密,BCrypt 是一种密码散列函数,即单向函数。且每次加密过后的值都不一样!
C++|SHA-256、SHA-3或专门设计的密码哈希函数
最新发布
奇树谦的博客
09-10 1550
在C++中,实现专门设计的密码哈希函数,如bcrypt、scrypt或Argon2,通常需要使用第三方库,因为这些算法比标准的哈希函数更复杂,包含了额外的安全特性。此外,密码哈希函数的使用应该遵循最新的安全最佳实践,包括适当的盐值生成和存储、密钥派生率的选择等。在C++中,你可以使用多种库来实现SHA-256哈希函数,其中比较流行的是OpenSSL库。确保你的OpenSSL库是最新的,因为旧版本可能不包含SHA-256函数。如果你的系统上的OpenSSL版本较旧,可能需要更新或安装支持SHA-3的版本。
探索密码哈希技术:原理、实现安全性
斯黄人民的博客
06-13 581
密码哈希是一种将明文密码转换为不可逆的字符串的过程。哈希函数会将输入数据(即密码)转换为固定长度哈希值,这个过程是单向的,即无法从哈希值还原原始密码。为了进一步增强安全性,通常会引入盐值(salt)——一种随机生成的数据,密码一起进行哈希计算。
BCryptPasswordEncoder加密
热门推荐
superxmh的博客
07-05 3万+
. BCryptPasswordEncoder介绍 BCryptPasswordEncoder是Spring Security中的一个加密方法。BCryptPasswordEncoder方法采用了SHA-256+随机盐+密钥对密码进行加密。 SHA:安全Hash函数(SHA)是使用最广泛的Hash函数 加密算法hash算法的区别: 加密算法是可逆的,加密算法的基本过程是对原来为明文的数据按某种算法进行处理,使其成为不可读的一段代码为“密文”,但在用相应的密钥进行操作之后就可以得到原来的内容。..
使用BCryptPasswordEncoder管理密码
u013571243的专栏
08-19 2万+
官方是推荐我们使用BCryptPasswordEncoder而PasswordEncoder 等已经被废弃了   1.看个简单的例子 @Test public void testPass(){ String pass = "hello"; BCryptPasswordEncoder encode = new BCryptPasswordE
spring security中的密码加密:BCrypt算法工具类BCryptPasswordEncoder
chushiyan的博客
12-30 3973
  spring security中有多种密码加密方式,MD5算法的Md5PasswordEncoder、SHA 算法的ShaPasswordEncoder,但由于是弱加密算法,都被弃用了。推荐使用的是BCrypt算法BCryptPasswordEncoder。 一、BCryptPasswordEncoder的使用 (一)添加依赖   在SpringBoot项目中加入spring securit...
Bcrypt加密算法简介
xlecho的博客
04-21 5500
xl_echo编辑整理,欢迎转载,转载请声明文章来源。更多IT、编程案例、资料请联系QQ:1280023003 百战不败,依不自称常胜,百败不颓,依能奋力前行。——这才是真正的堪称强大!! 本文转载自:http://www.php.cn/php-weizijiaocheng-376004.html 前言 我们常常为了避免在服务器受到攻击,数据库被拖库时,用户的明文密码不被泄露,一般...
Spring-Security-Core源码分析之BCryptPasswordEncoder
资深架构师分享:深入剖析软件架构,探讨云计算、微服务、大数据等前沿技术。分享实践经验,促进技术交流,共同构建卓越系统。
03-26 1972
背景 在授权的管理方面,Spring security 不愧是一个成熟的框架,本身有spring这个大的生态支持,再加上近几年Spring Boot的大力支持,现在Spring security在授权方面的入门门槛高的问题,也被解决了。这些问题被解决了,那么咱们是不是可以深入的了解一下spring security的一些设计。下面从spring security推荐的一个密码加密工具类来作为一个引...
bcrypt加密算法原理和应用
creator123123的博客
12-06 4859
bcrypt加密算法原理和应用 Question刚开始接触这种加密方式,而又对加密原理不了解时,很容易产生这种疑问❔:    对一个密码bcryptjs每次生成的hash都不一样,那么它是如何进行校验的?Basic verification    虽然对同一个密码,每次生成的hash不一样,但是hash中包含了salt(hash产生过程:先随机生成salt...
BCrypt随机盐值加密
Jmsp's Tips
09-30 5964
朋友做的一个军检项目中用到BCrypt的加密处理,之前没用过,所以就查了些相关资料。简单的理解就是:BCrypt是一个利用随机盐值进行hash的加密方式。 相关概念: 哈希算法获取一个任何长度的字符串并采用一致的方式创建一个哈希值:一种固定长度的字符串表示。每次传入同一个原始字符串,您都会收到相同的哈希值。这是一个单向过程,您无法从中获得原始字符串。 盐值在原始的密码后面添加自定义的尽量随机的长字串
BCryptPasswordEncoder
cb_520
08-24 442
Spring Security 提供了BCryptPasswordEncoder类,实现Spring的PasswordEncoder接口使用BCrypt哈希方法来加密密码BCrypt哈希方法 每次加密的结果都不一样。 String BCryptPasswordEncoder..encode(String str) 加密 Boolean BCryptPasswordEncoder.matches(String rawPassword, String encodedPassword) 传入明文数据库密
简述BCryptPasswordEncode
qq_22596931的博客
04-25 6019
Spring Security 提供了BCryptPasswordEncoder类,实现Spring的PasswordEncoder接口使用BCrypt哈希方法来加密密码BCrypt哈希方法 每次加密的结果都不一样。 示例: import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; public...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值