SHA哈希的最佳时间密码长度

Question

在创建“遗忘密码”机制时，我们可能希望为使用SHA1存储的用户创建一个临时密码(请随意建议其他C#密码机制)。

我们应该做多长时间的时间密码？太短了，可能是蛮力造成的。太长，而且不必要的长度是多余的，因为字符串无论如何都是散列的？(因为20个字符和50个字符串将导致长度相同的散列)

更新

抱歉，如果这是误导。当然，我们可以从空气中选出一个数字，但我想知道是否有一个很好的数学理由来选择13而不是12。

Answer 1

我认为这是关于临时密码的好建议：

基于表单的网站认证的权威指南

它讨论如何避免生成它们，以实现用户想要的实际操作。

Answer 2

我一般用10个字符。没有什么特别的原因，只是我猜用户选择的密码的长度超过了平均长度。

仅仅因为它是随机生成的，它可能比用户选择的任何东西都更安全、更难使用暴力。人们会选择愚蠢的密码，如myspace1、stackoverflow1、12341234等。

Answer 3

如果密码是字母数字字符，那么每个字符只有大约6位的可用数据，因此您错误地认为密码长度超过20个字符是没有意义的。