个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
31
4
使用 Express.js 框架和 crypto 通过 pbkdf2 对密码进行哈希处理 我读到默认算法是 HMAC-SHA1,但我不明白为什么它没有升级到其他系列之一或 SHA。
crypto.pbkdf2(password, salt, iterations, keylen, callback)
我们提供的 keylen 是我们想要的 SHA 的变体吗?像 SHA-256,512 等?
还有 HMAC 如何改变输出?
最后,当 SHA1 被破解时,它是否足够强大?
对不起,如果我把事情搞混了。
最佳答案
Is the keylen that we provide the variation of the the SHA we want? like SHA-256,512 etc?
正如您所说的,您正在特别对密码进行哈希处理,@CodesInChaos 是正确的 - keylen(即 PBKDF2 输出的长度)最多是您的 HMAC native 哈希函数的位数。
例子作为证明:
这是 PBKDF2-HMAC-SHA-1 的 22 个字节 - 这是一个 native 哈希大小 + 2 个字节(总共进行 8192 次迭代! - 前 4096 次迭代生成前 20 个字节,然后我们进行另外 4096 次迭代之后的集合!):
这里只是获取 PBKDF2-HMAC-SHA-1 的前 20 个字节——即恰好一个 native 哈希输出大小(总共进行 4096 次迭代)
即使你存储了 22 个字节的 PBKDF2-HMAC-SHA-1,攻击者也只需要计算 20 个字节......这需要大约一半的时间,以获得字节 21 和 22,另一组完整的 HMAC 值计算后只保留 2 个字节。
Also how does HMAC change the output?
HMAC RFC2104是一种键控散列函数的方法,特别是当您简单地将键和文本连接在一起时具有弱点的散列函数。 HMAC-SHA-1 是 HMAC 中使用的 SHA-1; HMAC-SHA-512 是在 HMAC 中使用的 SHA-512。
And lastly is it strong enough when SHA1 is broken?
如果您有足够的迭代次数(在 2014 年从上万到数十万或更多)那么它应该没问题。 PBKDF2-HMAC-SHA-512 特别有一个优势,即它在当前显卡(即许多攻击者)上的表现比在当前 CPU(即大多数防御者)上的表现要差得多。
关于黄金标准,请参阅@ThomasPornin 在 Is SHA-1 secure for password storage? 中给出的答案,其中一小部分是“已知的对 MD4、MD5 和 SHA-1 的攻击是关于碰撞的,这不会影响原像抵抗。已经表明 MD4 有一些弱点,可以(仅在理论上)在尝试时加以利用破坏 HMAC/MD4,但这不适用于您的问题。Kesley 和 Schneier 的论文中的 2106 秒原像攻击是一种通用权衡,它仅适用于非常长的输入(260 字节;那是一百万兆字节 -请注意 106+60 是如何超过 160 的;这就是您看到权衡没有任何魔力的地方)。”
关于hash - Crypto - Express.js PBKDF2 HMAC-SHA1 就足够了吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21229685/
31
4
0
我正在尝试使用 Rust 的 std::hash 函数: use std::hash::{hash, Hash, SipHasher}; #[test] fn hash_test() { pr
我有以下内容 friends = [{ name: "Jack", attr1:"def", attr2:"def" }, { name: "Jill", attr1:"def", attr2:"de
我有以下数组: names = [ {"Adriana"=>{:gender=>"female", :nationality=>"danish"}}, {"Adriane"=>{:gender=>"f
我有一个哈希的 Perl 哈希......大约 11 或 12 个元素深。请原谅我没有重复下面的结构! 一些级别有固定的标签,例如'NAMES' , 'AGES'或类似的,因此访问这些级别很好,因为我
我试图派生一个描述结构化值的Graphviz文件。这是出于诊断目的,因此我希望我的图形尽可能接近地反射(reflect)内存中的实际结构。我正在使用下面的方法将值映射到Graphviz顶点,以便当一个
我正在尝试获取在 xlm 中传递的事件日志条目,将它们转换为散列,然后存储到数据库中。 我目前正在使用 XmlSimple gem 将 xml 输入转换为散列。 测试样本输入: require 'xm
对于 Ruby 中的 Hash,reject! 和 reject 与 delete_if 有何不同?谁能用简单的代码片段解释它们之间的区别? 最佳答案 由于其他答案指的是 Array#delete_i
我正在尝试处理我使用 Data::Dumper 输出的 perl 数据结构 $VAR1 = 'GAHD'; $VAR2 = [ { 'COUNTRY' => 'US',
无法使用来自辅助进程的现有 rte Hash: h = rte_hash_find_existing("some_hash"); if (h) { // this will w
我有一个散列的散列,其中第一个键是一个字符串,第二个键是一个整数。我试图在散列的散列中获得最低的第二个键。这是我的哈希。 %HoH = ( flintstones => { 8
如何从一系列数组中生成哈希中的哈希?我需要从这里开始: my @data = /one two three/; my $value = 13: 为此: $hoh = { 'one' => { 'two
我有这个配置文件 dbUser=customer dbPass=passwrd dbSid=customer.shadow passwdFile=/production/etc-user tmpUse
我想实现一种thing,可以唯一标识,除此之外,它不包含其他字段。它有点像 ruby 中的 BasicObject 或 java 中的 Object。 我添加了一个 PartialEq 特征。 s
我正在尝试使用以下键存储二维哈希: 维度 1 = 数字但不连续 维度 2 = 字符串(如 :id 和 :value) 当元素未初始化时会出现问题。 memory = Hash.new(Hash.new
我目前正在学习 Michael Hartl 的 Ruby on Rails 教程 不理解在 section 4.4.1 中找到的此语句的含义: Hashes, in contrast, are dif
我很乐意通过更短的表达式访问多维哈希数组的任何元素 h = {a: {b: 'c'}} # default way p h[:a][:b] # => "c" # a nicer way p h[:a,
我想在编写 flutter channel beta 后运行 flutter web 它回复:Can't load kernel binary:Invalid SDK hash,你知道如何解决这个问题
我最近正在研究 Amazon 提供的新 NoSQL 服务,更具体地说是 DynamoDB。 亚马逊说你应该避免使用不均匀分布的键作为主键,即主键应该越独特越好。我可以认为这是最好的情况下每个项目都有唯
我的游戏中有很多哈希值,例如 HMSET('hash1', 'level', 25, 'connected', 2) HMSET('hash2', 'level', 50, 'connected',
我必须翻译这句话:'Susspected overpass-the-hash attack (Kerberos)' 我发现了这篇关于立交桥哈希的文章:https://blog.stealthbits.
我是一名优秀的程序员,十分优秀!