已解決430363個問題，去搜搜看，總會有你想問的

用戶密碼鹽的最佳長度是多少？

關注

首頁猿問用戶密碼鹽的最佳長度是多少？

安全源碼

HUX布斯 2019-10-26 11:08:59

鹽分和哈希用戶密碼時，任何鹽分都顯然會有所幫助。是否有關于鹽應保留多長時間的最佳實踐？我將鹽存儲在用戶表中，因此我希望在存儲大小和安全性之間取得最佳平衡。隨機添加10個字符的鹽就足夠了嗎？還是我需要更長的時間？

查看完整描述

3 回答

明月笑刀無情

TA貢獻1828條經驗獲得超4個贊

我下面的答案按要求回答問題，但“真正的”答案是：只需使用bcrypt，scrypt或Argon2即可。如果您要問這樣的問題，那么幾乎可以肯定您使用的工具水平太低。

老實說，沒有合理的理由不讓鹽與哈希密碼具有相同的長度。如果您使用的是SHA-256，則有256位的哈希值。沒有理由不使用256位鹽。

從數學上講，超過256位不會使您的安全性得到任何改善。但是，使用較短的鹽可能總是會遇到彩虹桌趕上您的鹽長度的情況，尤其是較短的鹽時。

反對回復 2019-10-26

aluckdog

TA貢獻1847條經驗獲得超7個贊

在Linux，BSD Unix和Solaris中使用的SHA2-crypt和bcrypt方法具有128位的鹽。這些較大的鹽值使得在可預見的將來，針對這些系統的幾乎所有長度的密碼都無法進行預計算攻擊。

128位（16字節）鹽就足夠了。您可以將其表示為128 / 4 = 32十六進制數字序列。

反對回復 2019-10-26

關注

舉報

0/150

提交

取消