Что использовать для хэширования паролей? Любая причина не использовать jBCrypt?

Question

Я планирую использовать jBCrypt для хэширования паролей в новом веб-приложении, так как он должен быть лучшим из того, что я прочитал. Поскольку я не использовал его, прежде чем я заглядываю, если есть какая-то причина не использовать его.

У меня есть это:

• я не нашел его в хранилище Maven (искал jbcrypt и Bcrypt в mvnrepository.org), который является неудачником, как я хотел бы, чтобы моя зависимость управляется с помощью если возможно, репозиторий Maven. Если jBCrypt - лучшее решение для хеширования паролей, я должен был бы настроить собственный локальный репозиторий и иметь его таким образом. Или я просто пропустил это? Может быть, он где-то там?
• Это только в версии 0.2, но, возможно, она стабильная в любом случае, и причина для номера с низкой версией имеет еще одну причину?

Answer 1

jBcrypt, вероятно, прекрасен как криптоалгоритм для ваших паролей; blowfish относительно силен. Хотя некоторые ошибки реализации в Blowfish были обнаружены, я не нашел ничего о jBcrypt. С другой стороны, Blowfish не тестировался почти так же сильно, как и другие алгоритмы, а атака известная-обломок crack часто срабатывает лучше, чем ожидалось, удивительных криптоватов.

Так вот что я предлагаю:

• идти вперед и использовать jBcrypt но защитить зашифрованные файлы паролей в той мере, вы можете разумно - как вы бы использовать/и т.д./тень на системе UNIX.
• Вопреки предложению Никхиля, будет вытащить источники в ваш контроль версий по двум причинам: (1) где бы вы их сохранили, поскольку они вам нужны, когда вы строите, и (2), потому что всегда есть случайный человек, делающий jBcrypt, перейдет к другим вещам, и вы не хотите, чтобы он оставался висевшим перед доставкой (что неизбежно, когда вы узнаете.) В такой ситуации я бы поместите источники в ваш контроль версий, как если бы они были вашим кодом, а затем любые изменения можно вставить, как если бы вы построили новую версию самостоятельно. Не нужно быть более сложным, чем обычно.

Answer 2

Я сомневаюсь, что стабильность будет проблемой, поскольку сам bcrypt является зрелым, а его крошечные стандартизированные обертки не делают ничего экстраординарного. Я доволен другой оберткой Bcrypt от Damien Miller, python-bcrypt, которая находится только на версии 0.1.

Я незнакомый с Maven, но (ересь предупреждает!) Я сомневаюсь, что вам нужен контроль версий для компонента, такого же простого, как bcrypt. Чтобы процитировать сайт, изменения от v0.1 до v0.2 были «правильностью, опечатками и твитами API (полностью обратно совместимыми)», а список TODO пуст.

Answer 3

Насколько ваше беспокойство, что это не зрелая, я собирался предложить вам создать свои собственные тесты JUnit сравнивающие результаты jBcrypt и более проверенную Bcrypt, чтобы увидеть, если вы получите те же результаты, и затем вносить вклад в проект jBcrypt.

Но это уже было сделано:

...корабли с комплектом JUnit unit проверили правильность работы библиотеки и совместимость с канонической реализацией C с помощью каскадного алгоритма .

Просматривая тесты JUnit, чтобы увидеть, если они удовлетворяют свой уровень удовлетворенности, где я хотел бы начать ...