我正在使用C ++编写密码管理器(仅用于教育目的!)。要生成主密钥,我的程序将运行 之前通过密码散列函数argon2输入主密码以生成主密钥。我有一个问题。我需要一种方法来生成与该哈希函数一起使用的salt。从我之前的研究(谷歌搜索:“生成盐c ++”,并搜索StackOverflow),我看到人们做了类似的各种事情:
#include <iostream>
#include <string>
#include <cstdlib>
#include <ctime>
using namespace std;
static const char alphanum[] =
"0123456789"
"!@#$%^&*"
"ABCDEFGHIJKLMNOPQRSTUVWXYZ"
"abcdefghijklmnopqrstuvwxyz";
int stringLength = sizeof(alphanum) - 1;
char genRandom() // Random string generator function.
{
return alphanum[rand() % stringLength];
}
int main()
{
srand(time(0));
for(int z=0; z < 21; z++)
{
cout << genRandom();
}
return 0;
}
我的问题是:使用rand()生成随机字符串是否足够,或者是否有更多接受的生成salt的方法,或者可以为我执行此操作的库?
P.S当我搜索StackOverflow时,我真的只能找到关于PHP和C#的文章。
答案 0 :(得分:1)
如果你真的只需要一个 salt ,即你可以使用密码进行哈希以使哈希唯一,那么它只需要是唯一的。特别是它不需要以任何方式随机或不可取。
我会将实时系统时钟与计数器连接起来。
使用系统时钟保证值对于我的程序的不同运行是唯一的,并且使用计数器保证值在我的程序的同一运行中是唯一的。
这适用于同一进程处理大量密码的服务器类型方案。如果您的程序可能每秒运行多次,或者并行运行许多实例,那么也要添加进程ID。如果您的进程是分发的,请包括服务器IP地址或MAC。
调用你的系统所拥有的任何版本的uuidgen()也可以,或者使用真正的加密随机数生成器。
请注意,许多实施都使用非常短的盐,即使保持盐短是完全没必要的。不要这样做,因为这很难确保它们是独一无二的。