标签: security cryptography passwords salt
可能重复: What is the optimal length for user password salt?
我试图在Stack Overflow上找到这个问题的答案而没有任何成功。
假设我使用SHA-1哈希存储密码(因此它是160位),让我们假设SHA-1对我的应用程序来说足够了。用于生成密码哈希值的盐应该多长时间?
我发现的唯一答案是,使其长度超过散列本身(在这种情况下为160位)没有意义,这听起来合乎逻辑,但是我应该把它做得那么久吗?例如。 Ubuntu使用带有SHA-512的8字节盐(我猜),因此对于SHA-1来说8个字节也足够了,或者它可能太多了?
答案 0 :(得分:1)
目前的标准建议使用16卡长的盐 http://en.wikipedia.org/wiki/Crypt_%28Unix%29#SHA-based_scheme
此问题has been asked before :)