密碼哈希函數 Bcrypt的最大密碼長度限制詳解

密碼哈希函數 Bcrypt的最大密碼長度限制詳解。本站提示廣大學習愛好者：（密碼哈希函數 Bcrypt的最大密碼長度限制詳解）文章只能為提供參考，不一定能成為您想要的結果。以下是密碼哈希函數 Bcrypt的最大密碼長度限制詳解正文

密碼哈希函數 Bcrypt的最大密碼長度限制

Bcrypt是一個很流行的密碼哈希算法，是Niels Provos和DavidMazières基於Blowfish加密算法設計的密碼哈希算法，於1999年在USENIX協會上提交。Bcrypt在設計上包含了一個鹽Salt來防御彩虹表攻擊，還提供了一種自適應功能，可以隨著時間的推移，通過增加迭代計數以使其執行更慢，使得即便在增加計算能力的情況下，Bcrypt仍然能保持抵抗暴力攻擊。

Bcrypt是OpenBSD和SUSE Linux等操作系統默認的密碼哈希算法。但是在使用Bcrypt算法的實現時，要注意它有最大密碼長度限制，通常為50～72字符，准確的長度限制取決於具體的Bcrypt實現。超過最大長度的密碼將被截斷。

下面使用spring Security的BCryptPasswordEncoder為例：

BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
// 72 字符
String password1 = "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa";
// 73 字符
String password2 = "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaab";
String encodedPassword1 = passwordEncoder.encode(password1);
boolean matches = passwordEncoder.matches(password2, encodedPassword1);
System.out.println("encodedPassword1: " + encodedPassword1);
System.out.println("matches: " + matches);

當運行程序時，會輸出這樣的結果：

encodedPassword1: $2a$10$A5OpVKgjEZzmy6UNsqzkjuG2xGET1wp3b/9ET5dz/tHQ3eRvyXSSO
matches: true

這證明了Password字符串超過72字符的部分被截斷丟棄了。

要解決Bcrypt密碼算法72字符長度限制的問題，可以這樣：

先使用SHA-256算法對字符串進行加密，再使用Bcrypt算法加密，用偽碼示意如下：

hashpw(sha256('password'), salt);

感謝閱讀，希望能幫助到大家，謝謝大家對本站的支持！