可能重复:
用户密码盐的最佳长度是多少?
我试图在 Stack Overflow 上找到这个问题的答案,但没有成功。
假设我使用 SHA-1 哈希存储密码(所以它是 160 位),假设 SHA-1 对我的应用程序来说已经足够了。用于生成密码哈希的盐应该多长时间?
我发现的唯一答案是,让它比散列本身(在这种情况下为 160 位)更长,这听起来合乎逻辑,但我应该让它长那么长吗?例如,Ubuntu 使用 SHA-512 的 8 字节盐(我猜),那么 8 字节对于 SHA-1 是否也足够了,或者可能太多了?