如果我用SHA1加密密码然后加盐,然后用bcrypt加密它。是否比将盐加入未加密的密码然后用bcrypt加密它更安全?
谢谢。
答案 0 :(得分:5)
在将密码传递给bcrypt之前计算密码的SHA-1哈希不会提供任何额外的安全性。
充其量,它将保留bcrypt的安全性。将SHA-1应用于初始密码既不会添加任何额外的熵,也不会以任何方式扩展结果的范围,因此结果的安全性最多只能与bcrypt本身一样好。
但是Antoine Joux的研究表明它可能比这更糟糕。使用多重组合,甚至可能会削弱安全性,因此与单独使用bcrypt相比,最终的方案甚至可以更少安全。
通常,最好按指定使用加密基元。这至少可以保证结果是安全的 - 手动添加到方案“改进”的东西几乎总是以比原始安全性更低的方式结束。