gpt4 book ai didi

java - 什么用于密码散列?有什么理由不使用 jBCrypt 吗?

转载 作者:太空狗 更新时间:2023-10-29 22:41:26 29 4
gpt4 key购买 nike

我打算使用 jBCrypt用于新 Web 应用程序中的密码散列,因为它应该是我读过的最好的。因为我之前没有使用过它,所以我正在研究是否有任何理由不使用它。

我有这个:

  • 我没有在 Maven 存储库中找到它(在 mvnrepository.org 上搜索了 jbcrypt 和 bcrypt),这是一个令人沮丧的问题,因为我希望尽可能使用 Maven 存储库管理我的依赖项。如果 jBCrypt 是最好的密码散列解决方案,我必须设置我自己的本地存储库并以这种方式使用它。还是我只是错过了它?也许它就在某处?
  • 它只有 0.2 版,但也许它是稳定的,版本号低的原因还有其他原因吗?

最佳答案

jBcrypt 可能适合作为密码的加密算法;河豚比较强。尽管 Blowfish 本身存在一些已报告的实现缺陷,但我没有发现关于 jBcrypt 的任何报道。另一方面,Blowfish 并没有像其他算法那样经过严格的测试,并且 crack -style known-plaintxt 攻击的效果通常比预期的要好,这让加密极客感到惊讶。

所以这是我的建议:

  • 继续使用 jBcrypt,但尽可能保护您的加密密码文件——就像在 UNIX 系统上使用/etc/shadow 一样。
  • 与 Nikhil 的建议相反,我将源代码拉入您的版本控制,原因有二:(1) 您还可以将它们保存在哪里,因为您在构建时需要它们,以及 (2 ) 因为做 jBcrypt 的人总是有机会继续做其他事情,而且您不希望在交付前发现自己悬而未决(当您发现时这是不可避免的。 ) 在这种情况下,我会将源代码放入您的版本控制中,就好像它们是您的代码一样,然后可以插入任何更改,就好像您自己构建了一个新版本一样。不需要比平时更复杂。

关于java - 什么用于密码散列?有什么理由不使用 jBCrypt 吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/622732/

29 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com