Sto pianificando di utilizzare jBCrypt per l'hashing della password in una nuova applicazione Web, poiché si suppone che sia il migliore da quello che ho letto. Come non l'ho usato prima che io stia esaminando se c'è qualche ragione per non usarlo.Che cosa utilizzare per l'hashing della password? Qualche ragione per non usare jBCrypt?
ho questo:
- io non l'ho trovato nel repository Maven (cercato jbcrypt e bcrypt a mvnrepository.org) che è un handicap come mi piacerebbe avere le mie dipendenze gestito mediante un repository Maven se possibile. Se jBCrypt è la soluzione migliore per l'hashing delle password, dovrei configurare il mio repository locale e renderlo disponibile in questo modo. O l'ho appena perso? Forse è lì da qualche parte?
- È solo alla versione 0.2, ma forse è comunque stabile e il motivo per un numero di versione basso ha qualche altra causa?
Sì, è nel mio controllo di versione ora. Dovrei Google per questi noti punti deboli in Blowfish, poiché è una novità per me. Riguardo a "crack style known-plaintext attack", intendi un attacco di tipo brute force dictionary? Se quello è il cast è l'intera ragione per cui voglio usare Blowfish, dato che è un algoritmo lento. –
No, cerca il crack di Alec Muffet: precompone un grosso dizionario di password comuni e poi confronta i ciphertexts. E non è che Blowfish abbia conosciuto difetti, è che alcuni implementaitons sono stati segnalati per avere difetti. –
Hm, va bene. Ma sto usando la pasword salting quindi un attacco del dizionario non dovrebbe essere possibile in quel modo. –