Ich versuche, Passwörter von Dritten zu verschlüsseln und entschlüsseln, wenn ich brauchte. Ich frage mich, ob es irgendeine Standardlösung gibt, um das Passwort mit einem zufälligen Salz für jedes Passwort zu mischen, unabhängig davon, wie BCrypt es macht?Zufälliges Salz Verschlüsselung/Entschlüsselung
Danke für jede Hilfe!
Es gibt PBKDF2, die kennwortbasierte Schlüsselableitungsfunktion, die in den PBE-Standards (Password Based Encryption), auch als PKCS # 5 bekannt und in RFC 2898 standardisiert, verwendet wird. Sowohl Java als auch .NET enthalten Implementierungen dieses Schemas.
Beachten Sie, dass dies nicht bedeutet, dass es notwendigerweise * besser * als bcrypt ist ... –
Es gibt [vernünftige .NET BCrypt-Implementierungen] (https://paragonie.com/blog/2016/02/how-safely-store -password-in-2016 # csharp) auch verfügbar. –
@MaartenBodewes, Ich bin im Grunde auf der Suche nach einem guten Weg, gegen Regenbogen-Tabellen und Bruteforce zu schützen. Denkst du PBKDF2 ist gut genug dafür? –
Möchten Sie nur zur Bestätigung hashen oder möchten Sie das Passwort tatsächlich verschlüsseln/entschlüsseln? Kennen Sie die IT-Sicherheits-Site des Stack-Austauschs? Ist bcrypt nicht ausreichend standardisiert? –
@WildGoat: Das klingt wie eine Frage über "Passwort Hashing", nicht "Verschlüsselung". [Der Unterschied ist nicht subtil] (https://paragonie.com/blog/2015/08/you-wouldnt-base64-a-password-cryptography-decoded). –
Das Äquivalent von _salt für Hashing_ ist der Initialisierungsvektor _IV für encryption_. Hase ist eine Möglichkeit, Verschlüsselung ist zwei-Wege, so dass sie in verschiedenen Situationen verwendet werden. – martinstoeckli