gpt4 book ai didi

security - key 拉伸(stretch)算法与密码限制 "hashing"

转载 作者:行者123 更新时间:2023-12-02 19:28:22 24 4
gpt4 key购买 nike

为什么人们建议使用像 bcrypt/pbkdf2 这样需要更长计算时间(故意)的 key 拉伸(stretch)算法,而不是使用更快的算法,这些算法也是安全的,比如 salted sha-256 或 sha-512 并使用节流机制限制暴力攻击?

限制不受 CPU 限制,并且将为暴力攻击提供相同的“延迟”,同时对于普通用户来说仍然很快。另一方面,bcrypt/pbkdf2 受 CPU 限制,并且总是很慢。

最佳答案

当您使用 key 延伸时,您就需要为攻击者从您的数据库中窃取哈希值的情况做好准备。然后,攻击者可以启动离线攻击,并利用其 GPU/CPU 的全速进行暴力破解密码。

只有计算哈希值的绝对必要的代码才重要,因为所有其他代码(例如限制)都可以简单地省略。要设置每个哈希的最短时间,您必须使问题本身难以解决。这就是 key 拉伸(stretch),没有更便宜的方法来计算所有轮次的哈希值,以获得可比较的哈希值。

像 BCrypt/SCrypt 这样的一些算法是另外设计的,因此很难用 GPU 来解决。

关于security - key 拉伸(stretch)算法与密码限制 "hashing",我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28759551/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com