alternativa jBCrypt? Ufficialmente sicuro, con una comunità più grande

Question

Per le password hash (a senso unico), sembra bcrypt is the best.

sto per iniziare a utilizzare jBCrypt, ma ho alcune preoccupazioni:

• No mailing list.
• Attività molto bassa nel complesso.
• Bug tracker ha sempre avuto solo 1 problema e questo numero 1 non ha ricevuto alcun segno di attività.
• Sono state rilasciate solo 3 versioni.
• jBCrypt non afferma di essere protetto da thread. Mentre most people seem to agree that the source code looks threadsafe, una dichiarazione chiara sul sito ufficiale sarebbe molto meglio.

C'è una libreria simile e più diffusa che tutti usano e che mi è sfuggita in qualche modo? (Java, open source)
Oppure è effettivamente il "più mainstream"?

Answer 1

BCrypt è un algoritmo intelligente ma "semplice". Il codice Java è lungo 700 righe (compresi i commenti e 300 righe di costanti esadecimali) che è semplicemente una porta del codice originale

Non è una struttura complicata con dozzine di moduli. Non può avere annunci regolari sulle pietre miliari raggiunte. Funziona solo ... Probabilmente avrai 1 cambiamento nei prossimi anni a causa di un problema di sicurezza rilevato da un ricercatore di sicurezza particolarmente intelligente, ma non avrai una community costruita intorno a questo, non ci si aspettano miglioramenti come l'originale algoritmo è già implementato

I test sono qui per dimostrare la coerenza con la versione C, sceglierei lo