如何保存bcrypt？

Question

因为Spring弃用了旧的接口

org.springframework.security.crypto.password.PasswordEncoder;

我在寻找替代方案，

org.springframework.security.authentication.encoding.PasswordEncoder;

我的搜索指向：https://stackoverflow.com/a/18678325

我测试了bcrypt，我对它的工作原理很感兴趣。

https://stackoverflow.com/a/6833165的解释给我指出了一个问题。

如果$2a$10$ZaDBCZaI59IMdKuBiRdubuMa2h/itIYIwqLHpS1q245ISD90xsjkW包含关于编码类型和salt等的所有信息，并且这些信息存储在我的数据库中，那么为什么要保存它？如果有人有这个“哈希”，他可以很容易地用暴力破解它。

在我之前的项目中，我使用了一个带有系统范围的秘密盐的SHA编码。在这种情况下，从数据库中窃取的散列不容易被解密。

那么为什么bcrypt比使用系统级盐的SHA更受欢迎呢？

Answer 1

2分：

1. Bcrypt旨在通过具有可配置的复杂性来抵御暴力破解攻击，从而使过程变得任意缓慢。有关所有密码使用相同散列的更多详细信息，请参阅wikipedia
2. ，因为已知数据库中的每个密码都包含一个共享组件，所以与您的现有系统一样，
3. 可能容易受到差异攻击。