目前有三种密钥派生函数被广泛认为可以防止暴力破解尝试。密钥派生函数与常规散列算法略有不同,因为它们的设计速度很慢,即使面对现代基于 GPU 的计算也是如此。
我将按照理论上的安全性顺序列出它们:
PBKDF2是 RSA 设计的,基于 SHA,是 NIST 推荐的算法。您可以在浏览器中使用几个实现 。
Node 用户注意: Node 的crypto模块具有内置的 PBKDF2 功能。用那个。
bcrypt基于 Blowfish,比 PBKDF2 稍微安全一些。它经过了相对良好的测试和安全验证,但没有任何标准机构的批准印章,如果这是您的考虑因素。这里有一个通用的 JS 实现。
Node 用户注意事项:使用node.bcrypt,它在单独的线程上执行计算昂贵的东西。
最后,scrypt无疑是理论上最安全(最慢)的 KDF。不幸的是,该算法非常新,因此尚未通过密码学界的严格研究和测试来验证。但是,它有望成为 IETF 标准。
因为算法太新了,所以很难找到实现。我只能找到这个半生不熟的。虽然安全优势非常有希望,但在算法本身及其实现都被验证安全之前,我不推荐使用 scrypt。
这三个实际上如何比较?scrypt论文有一个对比:
实际上,即使是 PBKDF2 也使得除政府以外的任何人破解单个 8 字符密码的成本都很高。
您始终可以忽略快速 SHA-256 的最后 10 个字符。或 xor 要包含的前 10 个字符。
SHA 的轮数可变。两轮 SHA 在某种程度上应该是可逆的。我有一个模糊的想法,即 20 轮被认为是“安全的”。30 轮应该是“高度安全的”,而 50 轮实际上并没有提高安全性。
SHA 被设计成安全的——不是希望破解者有一台足够慢的机器——而是通过数学证明。如果并且当每轮中不可逆比特的数量增加并置换为 256 位哈希码时,将永远不会有足够的计算机能力来尝试生成该特定哈希码的所有可能序列。宇宙中的能量甚至不足以包裹一个 256 位的计数器。
除非产生哈希的字符串非常小或写在某人显示器上的便利贴上。