問題タブ [jbcrypt]

jBCryptを使用して、新しい Web アプリケーションのパスワード ハッシュに使用することを計画しています。使用したことがないので、使用しない理由があるかどうかを調べています。

私はこれを持っています：

• 可能であれば Maven リポジトリを使用して依存関係を管理したいので、Maven リポジトリ (mvnrepository.org で jbcrypt と bcrypt を検索) で見つけられませんでした。jBCrypt がパスワード ハッシュの最善のソリューションである場合、自分のローカル リポジトリをセットアップして、その方法で利用できるようにする必要があります。それとも私はそれを逃したのですか？多分それはどこかにあるのでしょうか？
• バージョン 0.2 のみですが、とにかく安定しており、バージョン番号が低い理由には別の原因があるのでしょうか?

サーバーに送信する前にMD5を使用してログインの詳細をハッシュするプログラムを作成していますが、データベースから取得したblowfish（jBCrypt）ハッシュパスワードと比較する必要があります。

jBCryptは以下を使用します：

問題は、テストする候補のパスワードがないことです。ログイン情報の安全な送信とデータベースへのこれらの詳細の安全な保存の両方を行うにはどうすればよいですか。これに取り組むための最良の方法は何ですか？

ユーザー名、タイムスタンプ、ランダムバイト、およびパスワードを使用して、md5ダイジェスト値を作成します。

ありがとう、ウラジミール

元のjBCryptv0.1C＃ポートのバグを調べた後：BCrypt.net（関連する質問）。新しいjBCryptコードを古いC＃ポートと比較して、関連する質問のバグなどの不一致や潜在的な問題を探すことにしました。

これが私が見つけたものです：

前者が正しくない場合、次はそれを修正しますか？

私はjBCryptライブラリを使用して、ユーザーが私のアプリを使用して登録するときにユーザーパスワードをハッシュします。

私は次のように、基本的なハッシュ関数をソルトとともに使用しています。

登録時に1〜2分のハングに気づき、デバッガーをチェックして、BCryptが原因であることを確認しました。

パスワードのソルトは本当にそれだけの処理能力を必要としますか？もしそうなら、それをハッシュするためにプレーンテキストのパスワードをサーバーに送信するのが良い代替案でしょうか？この問題に関する私の当初の考えは、どこにでも送信される前にハッシュすることでした。何か案は？

BCrypt の checkpw(plaintextpw, previoushash) メソッドを使用して、平文パスワードと一致する以前のハッシュを取得するのに問題があります。

登録サーブレットでは、入力したパスワードを取得し、BCrypt の hashpw(password, genSalt) メソッドを使用してハッシュし、データベースに保存します。

ログイン サーブレットでは、データベースからそのハッシュを取得し、BCrypt の checkpw を使用して、入力したパスワードと一致するかどうかを確認します。

決して一致しません。これは、webapp ではなく、通常の Java アプリでは正常に機能します。他の誰もこの問題を抱えていないので、私は間違ったことをしているに違いないと思います:

BCrypt API は非常にシンプルです。

BCryptを使用するとおそらく必要ないため、塩を保存していません-では、何が間違っているのでしょうか?

2010 年にリリースされて以来、私は jBCrypt バージョン 0.3 をそのまま使用しています。「log_rounds」の数を 10 に設定するデフォルトの getsalt() メソッドを使用しています。メソッド、この値はデフォルトとしてまだ適切ですか、それとももっと高い値を検討する必要があります。

javadoc からの情報...

作業量は指数関数的に (2**log_rounds) 増加するため、各増分は 2 倍の作業になります。デフォルトの log_rounds は 10 で、有効な範囲は 4 ～ 31 です。

Play 2.1 で、BCrypt を使用して認証を実装しようとしています。Java アプリケーションですがInvalid salt version exception、ユーザーを認証しようとすると取得します。

これは私のスタックトレースです

次の Maven リポジトリを使用しています: http://mvnrepository.com/artifact/org.mindrot/jbcrypt/0.3m

私のコードはドキュメントに基づいているため、

パスワードを保存するため（パスワードがnullであることも確認しています）

入力したパスワードが正しいかどうかを確認します。パスワードは文字列で、d.getPassword() はハッシュ化されたパスワードです。

これが関連する情報かどうかはわかりませんが、正確には、ORM には hibernate を使用し、DB には PostgreSQL 8.4 を使用しています。

私はここで立ち往生しているので、誰かが私を助けてくれるかどうか尋ねています. よろしくお願いします。

私はmysql dbからユーザーを認証するタスクに取り組んでいます。ユーザーのパスワードは、Ruby on Rails の Devise gem フレームワークによってハッシュされます。

Docs は、パスワードのハッシュにも BCrypt を使用していると述べています。jBcrypt の問題は、

Google123 ハッシュは

BCrypt アルゴリズムを使用します。

この問題を解決するのを手伝ってもらえますか、それとも Bcrypt の他の実装を探すべきですか?

プロジェクトでパスワードをハッシュするために jbcrypt を使用しています。私が使用しているハードウェアでパスワードを検証するときのパフォーマンスは約 500 ミリ秒です (log_rounds を 12 に設定)。ただし、通常の使用でしばらくすると、パフォーマンス時間は突然 15 秒に低下します。低下は非常に急激で、蓄積はなく、プロセスが再開されるまで一定のままです。

プロファイリングは、余分な時間が key(..) メソッドで使用されていることを示しています。

ソース: http://jbcrypt.googlecode.com/svn/tags/jbcrypt-0.3m/src/main/java/org/mindrot/jbcrypt/BCrypt.java

このメソッドは、xor、シフトなどの基本的な関数を使用してハッシュを計算するだけです。オブジェクトの割り当て、外部リソースの使用、乱数の生成などはありません。

同じプロセス内の他の機能のパフォーマンスは低下しません。メモリ割り当ては安定しており、低いです。フル GC は含まれません。

誰かがこれを前に見たことがありますか、またはなぜこれが起こるのかの手がかりはありますか? 他の状況にある程度依存する可変パフォーマンスは理解できましたが、これは約 500ms からの非常に突然の安定した低下です。約15000ミリ秒まで。

Spring Hibernate MVC で Web アプリケーション プロジェクトに取り組んでいます。Spring セキュリティの Bcrypt アルゴリズムを使用して、エンコードされたパスワードをデータベースに保存しています。

ここで、エンコードされたパスワードをデコードして使用アカウントを非アクティブ化したいと考えています。ユーザーがアカウントを非アクティブ化する前に、確認するためにユーザーの電子メールとパスワードを提供しています。デコードされたパスワードの取得に問題があります。

誰かがそれから抜け出すのを手伝ってくれますか、それとも私の要件に対する代替ソリューションですか?