标签：加密 BCrypt Bcrypt myHash salt 密码 hash bcrypt

各算法对比

必须明确一点：
Bcrypt是单向Hash加密算法，类似Pbkdf2算法 不可反向破解生成明文。

一、Bcrypt是怎么加密的？

Bcrypt有四个变量：

1. saltRounds: 正数，代表hash杂凑次数，数值越高越安全，默认10次。
2. myPassword: 明文密码字符串。
3. salt: 盐，一个128bits随机字符串，22字符
4. myHash: 经过明文密码password和盐salt进行hash，个人的理解是默认10次下 ，循环加盐hash10次，得到myHash

每次明文字符串myPassword过来，就通过10次循环加盐salt加密后得到myHash, 然后拼接BCrypt版本号+salt盐+myHash等到最终的bcrypt密码 ，存入数据库中。
这样同一个密码，每次登录都可以根据自省业务需要生成不同的myHash, myHash中包含了版本和salt，存入数据库。
bcrypt密码图解：

如Spring Security crypto 项目中实现的BCrypt方法加密：BCrypt.hashpw(myPassword, BCrypt.gensalt())

那即使黑客得到了bcrypt密码，他也无法转换明文，因为之前说了bcrypt是单向hash算法；

二、那如果黑客使用彩虹表进行hash碰撞呢?
有文章指出bcrypt一个密码出来的时间比较长，需要0.3秒，而MD5只需要一微秒（百万分之一秒），一个40秒可以穷举得到明文的MD5，在bcrypt需要12年，时间成本太高，这我就没仔细研究，详细可看陈皓的
如何防范密码被破解

三、那他是如何验证密码的？
在下次校验时，从myHash中取出salt，salt跟password进行hash；得到的结果跟保存在DB中的hash进行比对。
如Spring Security crypto 项目中实现的BCrypt 密码验证BCrypt.checkpw(candidatePassword, dbPassword)

参考：
spring-security bcrypt类

作者：martin6699
链接：https://www.jianshu.com/p/2b131bfc2f10
来源：简书
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

标签：加密,BCrypt,Bcrypt,myHash,salt,密码,hash,bcrypt
来源： https://www.cnblogs.com/soft-engineer/p/15724281.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。