密碼哈希函數(shù) Bcrypt的最大密碼長(zhǎng)度限制

Bcrypt是一個(gè)很流行的密碼哈希算法，是Niels Provos和DavidMazières基于Blowfish加密算法設(shè)計(jì)的密碼哈希算法，于1999年在USENIX協(xié)會(huì)上提交。Bcrypt在設(shè)計(jì)上包含了一個(gè)鹽Salt來(lái)防御彩虹表攻擊，還提供了一種自適應(yīng)功能，可以隨著時(shí)間的推移，通過增加迭代計(jì)數(shù)以使其執(zhí)行更慢，使得即便在增加計(jì)算能力的情況下，Bcrypt仍然能保持抵抗暴力攻擊。

Bcrypt是OpenBSD和SUSE Linux等操作系統(tǒng)默認(rèn)的密碼哈希算法。但是在使用Bcrypt算法的實(shí)現(xiàn)時(shí)，要注意它有最大密碼長(zhǎng)度限制，通常為50～72字符，準(zhǔn)確的長(zhǎng)度限制取決于具體的Bcrypt實(shí)現(xiàn)。超過最大長(zhǎng)度的密碼將被截?cái)唷?/p>

下面使用spring Security的BCryptPasswordEncoder為例：

BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();// 72 字符String password1 = "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa";// 73 字符String password2 = "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaab";String encodedPassword1 = passwordEncoder.encode(password1);boolean matches = passwordEncoder.matches(password2, encodedPassword1);System.out.println("encodedPassword1: " + encodedPassword1);System.out.println("matches: " + matches);

當(dāng)運(yùn)行程序時(shí)，會(huì)輸出這樣的結(jié)果：

encodedPassword1: $2a$10$A5OpVKgjEZzmy6UNsqzkjuG2xGET1wp3b/9ET5dz/tHQ3eRvyXSSOmatches: true

這證明了Password字符串超過72字符的部分被截?cái)鄟G棄了。

要解決Bcrypt密碼算法72字符長(zhǎng)度限制的問題，可以這樣：

先使用SHA-256算法對(duì)字符串進(jìn)行加密，再使用Bcrypt算法加密，用偽碼示意如下：

hashpw(sha256('password'), salt);

感謝閱讀，希望能幫助到大家，謝謝大家對(duì)本站的支持！