Я планирую использовать jBCrypt для хэширования паролей в новом веб-приложении, так как он должен быть лучшим из того, что я прочитал. Поскольку я не использовал его, прежде чем я заглядываю, если есть какая-то причина не использовать его.Что использовать для хэширования паролей? Любая причина не использовать jBCrypt?
У меня есть это:
- я не нашел его в хранилище Maven (искал jbcrypt и Bcrypt в mvnrepository.org), который является неудачником, как я хотел бы, чтобы моя зависимость управляется с помощью если возможно, репозиторий Maven. Если jBCrypt - лучшее решение для хеширования паролей, я должен был бы настроить собственный локальный репозиторий и иметь его таким образом. Или я просто пропустил это? Может быть, он где-то там?
- Это только в версии 0.2, но, возможно, она стабильная в любом случае, и причина для номера с низкой версией имеет еще одну причину?
Да, теперь это в моем управлении версиями. Я должен использовать Google для этих слабых мест в Blowfish, поскольку это новость для меня. Что касается «атаки типа трещины в стиле открытого текста», вы имеете в виду атаку типа слова грубой силы? Если это бросок, это вся причина, по которой я хочу использовать Blowfish, так как это медленный алгоритм. – 2009-03-26 07:34:03
Нет, посмотрите на треск Alec Muffet: он предварительно вычислит большой словарь общих паролей, а затем сравнивает зашифрованные тексты. И дело не в том, что у Blowfish были известные недостатки, это значит, что некоторые из них, как сообщается, имеют недостатки. –
Хм, хорошо. Но я использую pasword salting, поэтому атака словаря не должна быть такой. – 2009-04-05 12:53:12