密碼雜湊的 PBKDF2

PBKDF2 (“基於密碼的金鑰派生函式 2”)是用於密碼雜湊的推薦雜湊函式之一。它是 rfc-2898 的一部分。

.NET 的 Rfc2898DeriveBytes-Class 基於 HMACSHA1。

    using System.Security.Cryptography;

    ...

    public const int SALT_SIZE = 24; // size in bytes
    public const int HASH_SIZE = 24; // size in bytes
    public const int ITERATIONS = 100000; // number of pbkdf2 iterations

    public static byte[] CreateHash(string input)
    {
        // Generate a salt
        RNGCryptoServiceProvider provider = new RNGCryptoServiceProvider();
        byte[] salt = new byte[SALT_SIZE];
        provider.GetBytes(salt);

        // Generate the hash
        Rfc2898DeriveBytes pbkdf2 = new Rfc2898DeriveBytes(input, salt, ITERATIONS);
        return pbkdf2.GetBytes(HASH_SIZE);
    }

PBKDF2 需要和迭代次數。

迭代:

大量的迭代會降低演算法的速度,這會使密碼破解變得更加困難。因此建議進行大量迭代。例如,PBKDF2 的數量級比 MD5 慢。

鹽:

salt 將阻止在彩虹表中查詢雜湊值它必須與密碼雜湊一起儲存。建議每個密碼使用一個鹽(不是一個全域性鹽)。