Author

Topic: 【bcrypt算法科普-淘京币】 (Read 691 times)

full member
Activity: 156
Merit: 100
December 21, 2013, 06:23:18 AM
#1
bcrypt和scrypt,两者名字虽似但没有任何直接联系,

bcrypt是知名密码学专家布魯斯·施內爾设计的加密算法,是知名的鱼系列算法家族(blowfish)中的一员。
scrypt是由著名的FreeBSD黑客Colin Percival为他的备份服务Tarsnap 而设计的加密算法,理论上来讲只要算法层面没有破绽,scrypt是安全的算法,但是由于现实中没有过多的应用和实际检验,scrypt仍然有待观察。

    bcrypt是专门为密码存储而设计的算法,bcrypt最大的好处是有一个参数(work factor),可用于调整计算强度,而且work factor是包括在输出的摘要中的。随着攻击者计算能力的提高,使用者可以逐步增大work factor,而且不会影响已有用户的登陆。
     bcrypt经过了很多安全专家的仔细分析,使用在以安全著称的OpenBSD中,一般认为它比PBKDF2更能承受随着计算能力加强而带来的风险。bcrypt也有广泛的函数库支持,因此我们建议使用这种方式存储密码。

点评各个加密算法的文章
http://codahale.com/how-to-safely-store-a-password/
     目前bcrypt实际应用较多,经过实际检验,如知名Twitter就采用bcrypt作为加密算法,而著名的Github采用bcrypt作为加密算法,在网站一度被攻破的情况下,依然保证非弱密码的大部分账户,美国军方和NASA的部分部门同样采用bcrypt作为标准加密算法。
Jump to: