-
有人可以提供一个关于如何使用 java/android 哈希密码的示例吗PW_HASH_ITERATION_COUNT
sha512 + salt 的迭代?
在伪代码中:
hash = sha512(concat(pw,salt));
for (i = 1; i<PW_HASH_ITERATION_COUNT; i++){
hash = sha512(concat(hash,concat(pw,salt)));
}
Where z = concat(x,y)
是 x 和 y 的串联。
也许使用信息摘要 ?
你会建议什么PW_HASH_ITERATION_COUNT
?最多需要多少次迭代才能在某些较旧的设备(2.1+)上运行
更新更新更新
由于充分的理由,我们将使用bcrypt加密我们的密码。我们使用jBCrypt执行。
无论如何..回答这个问题...这是上面问题的代码,将 SHA-512 与 MessageDigest 结合使用:
import java.io.UnsupportedEncodingException;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import de.seduceme.utils.Base64;
public class PwStorage {
public static int PW_HASH_ITERATION_COUNT = 5000;
private static MessageDigest md;
public static void main(String[] args) {
String pw = "teüöäßÖst1";
String salt = "e33ptcbnto8wo8c4o48kwws0g8ksck0";
try {
md = MessageDigest.getInstance("SHA-512");
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
throw new RuntimeException("No Such Algorithm");
}
String result = PwStorage.hashPw(pw, salt);
System.out.println(result);
// result: 2SzT+ikuO9FBq7KJWulZy2uZYujLjFkSpcOwlfBhi6VvajJMr6gxuRo5WvilrMlcM/44u2q8Y1smUlidZQrLCQ==
}
private static String hashPw(String pw, String salt) {
byte[] bSalt;
byte[] bPw;
try {
bSalt = salt.getBytes("UTF-8");
bPw = pw.getBytes("UTF-8");
} catch (UnsupportedEncodingException e) {
throw new RuntimeException("Unsupported Encoding", e);
}
byte[] digest = run(bPw, bSalt);
for (int i = 0; i < PW_HASH_ITERATION_COUNT - 1; i++) {
digest = run(digest, bSalt);
}
return Base64.encodeBytes(digest);
}
private static byte[] run(byte[] input, byte[] salt) {
md.update(input);
return md.digest(salt);
}
}
With 这个 Base64 库.
Read my post在这里,特别是我链接到的关于密码散列.
- 理想情况下,您应该使用 bcrypt 或 scrypt,而不是自己进行密码散列。
- 但如果必须的话,您应该至少运行几千次迭代,最好更多。
是的,您可以使用MessageDigest
对于 SHA-512。每次你打电话digest
,对象的状态会自动重置,这非常方便——您可以立即开始更新下一次迭代。
但我仍然认为你应该使用 bcrypt 或 scrypt 代替。为了您自己的利益,也为了您的用户的利益。 :-)
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)