0

我正在 App Engine 应用程序中试验passlib.hash.sha256_crypt算法,实现起来似乎相当简单。

使用自动生成的盐和 80,000 发的默认参数,这是否足够安全?应该先用随机字符填充吗?

密码正在从表格中发布并如上所述加密。

4

1 回答 1

2

我无法判断“足够安全”是什么意思。

最后我读到最好的选择是 scrypt、bcrypt 或 pbkdf2。如果您不能使用这些,那么我建议您使用 sha512 进行数千次迭代。使用 passlib CryptContext 的好处之一是您可以稍后根据需要(以及更好的实现可用)更新您的方案,同时保持与以前存储的密码的轻松兼容性。sha512_crypt 很容易在 GAE 上使用 passlib CryptContext 实现。

我不确定用字符填充(在加盐的顶部)添加任何东西。

于 2013-10-25T20:27:08.547 回答