問題タブ [bcrypt]

bCryptのjavadocには、パスワードを暗号化する方法に関する次のコードがあります。

プレーンテキストのパスワードが以前にハッシュされたものと一致するかどうかを確認するには、checkpwメソッドを使用します。

これらのコードスニペットは、ランダムに生成されたソルトが破棄されることを意味します。これは事実ですか、それともこれは単なる誤解を招くコードスニペットですか？

パスワードをハッシュするとき、多くのプログラマーが BCrypt アルゴリズムの使用を推奨していることを読みました。

私は C# でプログラミングしていますが、BCrypt の適切な実装を誰かが知っているかどうか疑問に思っていますか? このページを見つけましたが、偽物かどうかはよくわかりません。

パスワード ハッシュ スキームを選択する際に注意すべきことは何ですか? BCrypt は「良い」実装ですか?

jBCryptを使用して、新しい Web アプリケーションのパスワード ハッシュに使用することを計画しています。使用したことがないので、使用しない理由があるかどうかを調べています。

私はこれを持っています：

• 可能であれば Maven リポジトリを使用して依存関係を管理したいので、Maven リポジトリ (mvnrepository.org で jbcrypt と bcrypt を検索) で見つけられませんでした。jBCrypt がパスワード ハッシュの最善のソリューションである場合、自分のローカル リポジトリをセットアップして、その方法で利用できるようにする必要があります。それとも私はそれを逃したのですか？多分それはどこかにあるのでしょうか？
• バージョン 0.2 のみですが、とにかく安定しており、バージョン番号が低い理由には別の原因があるのでしょうか?

誰かが bcrypt の適切な実装を知っていますか?この質問は以前に尋ねられたことを知っていますが、応答はほとんどありませんでした。Google で表示される実装を選択するだけで少し確信が持てず、System.Security.Cryptography 名前空間で sha256 を使用する方がよいのではないかと考えています。少なくとも、それがサポートされていることはわかっています! あなたはどう思いますか？

パスワードを安全に保管する方法を検討しています。scrypt は bcrypt よりも「優れている」と主張する人もいますが、これまでのところ、その逆を主張したり、scrypt が安全でないと主張したりする人は誰もいません。

bcrypt に対する scrypt の利点は何ですか? scrypt の Web サイトによると、「scrypt に対するハードウェア ブルート フォース攻撃のコストは、bcrypt に対する同様の攻撃のコストの約 4000 倍です」。それが唯一の利点である場合、より多くのラウンドで bcrypt を使用することはできませんか?

WindowsVistaにbcrypt-rubyをインストールしようとしています。

これまでのところ、MSナレッジベースの記事からnmake.exeをインストールし、Visual Studio2008Expressのインストールからcl.exeをインストールすることができました。

しかし、私は今このエラーに遭遇しています：

おそらく環境を設定するVCVARS32.batをすでに実行しました。警告とエラーは、新しいバージョンのVisualStudioのインストールが原因であると思われます。

誰かがこれを成功させましたか？VisualStudio6.0のコピーを持っていません。

パスワードの保存に関する Jeff Atwood の投稿を読んだ後、私は BCrypt.net に出くわしました。これにより、Thomas Ptacek が BCrypt を使用してパスワードを保存することを勧めました。最終的に、この BCrypt の C# 実装にたどり着きました

上記の最後のリンクのコメントで、誰かが「GenerateSalt(30) には時間がかかるのに、GenerateSalt(31) にはまったく時間がかからないように見えるのはなぜですか?」と尋ねました。

BCrypt.HashPassword(password, BCrypt.GenerateSalt(31)) を実行したところ、0 ミリ秒で結果が得られました。

BCrypt.HashPassword("password", BCrypt.GenerateSalt(30)) を 5 分以上実行していますが、まだ結果がありません。

パスワード ハッシュ (またはBCrypt の場合は元に戻せない暗号化)を作成するために、ランダムに生成された 30 文字のソルトはおそらく何年も必要ないでしょう。編集私はコードを少し読むべきでした.logRoundsはソルトの長さとは何の関係もありません. ありがとうアーロノート。

では、GenerateSalt(31) がほぼ瞬時に値を返すのはなぜですか (GenerateSalt(30) の約 2 倍の時間がかかるのに)。

アップデート

ここに修正があります：

元のjBCryptv0.1C＃ポートのバグを調べた後：BCrypt.net（関連する質問）。新しいjBCryptコードを古いC＃ポートと比較して、関連する質問のバグなどの不一致や潜在的な問題を探すことにしました。

これが私が見つけたものです：

前者が正しくない場合、次はそれを修正しますか？

私はBCryptを試していましたが、次のことがわかりました。重要な場合は、ruby 1.9.2dev（2010-04-30トランク27557）を実行しています[i686-linux]

最初は、パスワードが一定の長さになると、すべてのハッシュで非類似性が失われ、非常に類似していない（つまり、長さが異なる）場合にのみ、異なるものとして認識されると思いました。ハッシュ関数について私が知っていることから、それは私にはあまり妥当ではないように思われましたが、より良い説明は見られませんでした。

次に、各long_stringsを短縮して、BCryptがそれらを区別できるようになる場所を確認しました。長い文字列をそれぞれ100文字程度に短縮すると、最後の試行（'passwor'）が開始されることがわかりました。同様にtrueを返します。だから今、私は何を考えるべきかわかりません。

これの説明は何ですか？

認証が必要な GWT プロジェクトを作成しました。当初、ユーザーのパスワードは平文でしたが、今は BCrypt でハッシュ化したいと考えています。検索しましたが、Jetty を BCrypt ハッシュ化パスワードに対して認証する方法を説明している場所が見つかりません。

FORM を使用してプレーン テキストと SSL 経由でパスワードをサーバーに送信しています。Jetty でこのパスワードをハッシュ化し、データベース内のパスワードと比較するにはどうすればよいですか?

ありがとうございました;