问题标签 [argon2-ffi]

我有一个 Angular 项目，我想在其中使用 argon2 库来加密密码。我将它添加到后端，实现很好，但我的 Angular 前端应用程序开始崩溃。

我得到一个巨大的错误列表，例如：

这只是错误之一，对于像crypto, fs, http, https, os, path, stream和许多其他模块这样的模块，我也有类似的错误。如果我使用bcrypt.

你知道什么是问题吗？

我正在将用户从一个用户存储迁移到另一个用户存储。用户密码信息存储在 Argon2 哈希中。我已经弄清楚了所有的输入，我有编码的哈希，但我无法计算 Hex Form 和 Encoded Form 之间的步骤

我已经使用这个生成器进行了很多测试。

我当前的数据库以“十六进制”格式存储密码

我要迁移到的解决方案要求它们采用编码格式以进行导入

如何将“十六进制”字符串转换为完整的“编码”字符串，至少是编码的哈希密码值（最后一位）

我正在尝试使用 C++ 密码库 Botan 对密码进行哈希处理。我尝试使用以下代码测试该库：

但代码要么打印垃圾数据，要么给我一个运行时错误： Unhandled exception at 0x00007FFEF11825E0 (ucrtbased.dll) in app.exe: 0xC0000005: Access violation reading location 0x0000000100000000.

我应该怎么办？使用 Botan::generate_bcrypt() 等其他散列方法也会导致相同的错误。

我试图弄清楚如何在 Java 中实际使用 argon2 散列作为密码。我必须遗漏一些东西，因为没有一个 API 返回散列或盐的离散字段。我已经尝试了argon2 的 JVM 绑定和spring-security + bouncy castle并且都给了我一个字符串，但它也被序列化，除了散列密码和盐之外的信息。

然后是结果：

如何获得散列和盐的离散值？在我的研究中，听起来我可以自己解析这个输出，但这听起来是个坏主意。

我使用了错误的库吗？我一直在做很多研究，这是两个最受欢迎的图书馆。

到目前为止，我使用 SHA256 对密码进行哈希处理（我知道，很糟糕），现在我想切换到 Argon2。

我的问题是，如果我理解正确，我现在必须将纯文本密码存储在会话变量中。

现在我将 SHA256 哈希值存储在会话变量中，并且我有一个check_user函数可以检查用户是否仍然登录我的大多数函数。

如果我切换到 Argon2，据我了解，我必须将纯密码存储在会话变量中才能使用PasswordHasher().verify，这是 IMO 的一种不好的做法。

这个问题的推荐方法是什么？

我必须在 Adob​​e ColdFusion 2018 中实现 Argon2 散列。我发现了两个可以使用的 Java 绑定：

1. argon2-jvm：https ://github.com/phxql/argon2-jvm
2. jargon2-api: https://github.com/kosprov/jargon2-api

第一个我已经成功集成。它运作良好，唯一的问题是它不允许传递“胡椒”字符串（又名“秘密”）。

所以我也尝试集成其他绑定。为了解决依赖问题，我使用了 JavaLoader ( https://github.com/markmandel/JavaLoader )。我通过 Maven 获得的罐子。

但是，我得到以下异常：

代码如下所示：

它被称为：

然后出现异常说找不到DLL。DLL 在 JAR 中，不应单独加载。

有没有人偶然成功地将这种 Argon2 绑定集成到 Coldfusion 中？

我正在制作一个用户注册和登录网站，其中我使用的是 Django。我已经执行pip install django[argon2]了，但错误No module named 'django.contrib.auth.hashers.Argon2PasswordHasherdjango'; 'django.contrib.auth.hashers' is not a package不断出现。

设置.py

收到的回溯是

我还尝试django.contrib.auth.hashers在同一工作目录中的终端中导入。它可以很好地导入django.contrib.auth.hashers，但是一旦django.contrib.auth.hashers.Argon2PasswordHasher导入，它就会生成

我还尝试注释掉 Argon2PasswordHasher 并让其他哈希器工作，但它对列出的所有哈希器产生了相同的错误PASSWORD_HASHERS

我将我的代码与 rollupJs 捆绑在一起，它工作正常，直到我将 argon2 添加到代码库中。在添加 argon2 之前，我使用命名导出和其他加密函数工作正常。

rollup.config.js

错误跟踪

我正在开发一个移动应用程序，并且在我对 argon2 密码哈希算法的非专业研究中，似乎（忽略密钥和盐）有三个主要参数：

• 迭代
• 记忆
• 并行性

虽然广播这些显然没有意义，但据我所知，这些将不可避免地需要在移动应用程序中编译，并且不良行为者可以通过反编译移动应用程序来找出这些参数。

我需要如何保护这些参数？

如果需要保护这些参数，我该如何混淆这些参数或减轻对已编译应用程序的威胁？或者，这些参数能否以某种方式分发，而不是在移动应用程序中编译？

我们有一个大型 Java Web 应用程序，必须将散列算法切换到 Argon2id。

我们对 20 个并发登录进行了负载测试，以了解响应时间并找到正确的参数。（在生产环境中，每个服务器实例的并发登录数是原来的 3 倍）

与所选参数无关（我们确定为 $argon2id$v=19$m=31250,t=8,p=1），Argon2id 实现的响应时间高度不一致：

90% 的哈希在 < 0.5 秒内完成，然后是 10 次左右的调用，耗时 4 或 5 秒。在那个尖峰之后，它会回到 < 0.5 秒。

使用更安全的参数，峰值将达到 10 秒以上。

我的猜测是延迟是由垃圾收集引起的。我们降低了内存使用量，但问题仍然存在。

平台是 WebSphere 9，实现是：

那么，如何在高流量 Web 应用程序中使用 Argon2id？尝试其他实现？以某种方式调整GC？

有人在大型网络应用程序中使用过它吗？