一、简介
今天要给大家介绍的一种“加密”算法叫做 bcrypt,bcrypt 是由 Niels Provos 和 David Mazières 设计的密码哈希函数,他是基于 Blowfish 密码而来的,并于 1999 年在 USENIX 上提出。
除了加盐来抵御 rainbow table 攻击之外,bcrypt 的一个非常重要的特征就是自适应性,可以保证加密的速度在一个特定的范围内,即使计算机的运算能力非常高,可以通过增加迭代次数的方式,使得加密速度变慢,从而可以抵御暴力搜索攻击。
bcrypt 函数是 OpenBSD 和其他系统包括一些 Linux 发行版(如 SUSE Linux)的默认密码哈希算法。
二、bcrypt 的工作原理
Bcrypt有四个变量:
- saltRounds:正数,代表 hash 杂凑次数,数值越高越安全,默认 10 次。
- myPassword:明文密码字符串。
- salt:盐,一个 128bits 随机字符串,22 字符。
- myHash:经过明文密码 password 和盐 salt 进行 hash,个人的理解是默认10次 ,循环加盐hash10 次,得到 myHash。
每次明文字符串 myPassword 过来,就通过 10 次循环加盐 salt 哈希后得到 myHash,然后拼接 BCrypt 版本号 + salt 盐 + myHash 得到最终的 bcrypt 密码 ,存入数据库中。
这样同一个密码,每次登录都可以根据自省业务需要生成不同的 myHash,myHash 中包含了版本和 salt,存入数据库。
bcrypt 密码图解:
三、如何验证
在下次校验时,从 myHash 中取出 salt,salt 跟 password 进行 hash,得到的结果与保存在 DB 中的 hash 进行比对。
(SAW:Game Over!)
