The Math of Password Hashing Algorithms and Entropy
10 months ago
- #hashing-algorithms
- #password-security
- #cybersecurity
- 数十亿条凭证信息已遭泄露或窃取,其中常包含明文密码或哈希密码
- SHA2等单向哈希算法将密码转换为固定长度的哈希值,使得逆向破解原始密码在计算上不可行
- 攻击者使用彩虹表等查找工具将哈希值反推为明文密码,因此加盐处理对安全防护至关重要
- 盐值是在哈希处理前添加到密码中的随机字符,能有效防范预先计算的哈希对照表攻击
- 暴力破解会生成所有可能的密码组合来匹配哈希值,密码复杂度越高所需计算时间呈指数增长
- 密码熵值(复杂度与长度)直接影响暴力破解所需的时间成本
- BCrypt、SCrypt和PBKDF2等高级哈希算法通过延缓哈希生成速度来提升安全性
- 安全领域的核心争议在于:应该强制使用长密码,还是依赖慢哈希算法来保护短密码
- FusionAuth默认采用24,000次迭代的PBKDF2哈希方案,在安全性与性能之间取得平衡