问密码最大长度与bcrypt，河豚

EN

我的问题来自于这个How to hash long passwords (>72 characters) with blowfish

我正在使用bcrypt(河豚)散列密码。所以，我从这个问题中发现了https://security.stackexchange.com/questions/39849/does-bcrypt-have-a-maximum-password-length

它的字符限制为72。

所以，我开始考虑限制密码的最大长度，但是在这些问题和答案之后。

https://security.stackexchange.com/questions/33470/what-technical-reasons-are-there-to-have-low-maximum-password-lengths

Why restrict the length of a password?

Should I impose a maximum length on passwords?

所有的话都是反对的。提到一些事情，比如

• 存贮
• 旧的Unix系统经验
• 与不支持长密码的遗留系统的交互
• 公约(即“我们总是这样做”)
• 单纯的天真或无知。
• 存储在纯文本中
• 另外，a maximum length specified on a password field should be read as a SECURITY WARNING，通过这个答案- https://stackoverflow.com/a/99724/932473
• 等

因此，我不认为我与其中一个案件相匹配。当然，我同意愚蠢的限制，例如最大长度为10，甚至更糟的是，8或6，但密码(加盐的) 30、40或更长不安全吗？从这篇文章中(虽然有点老了)，但它说

it can make only 71,000 guesses against Bcrypt per second

http://arstechnica.com/security/2012/12/25-gpu-cluster-cracks-every-standard-windows-password-in-6-hours/

这是8个字符密码。因此，我想象自定义的彩虹表将有多大-强制只有一个或更多的字符密码(考虑到每个密码都有它自己的盐)，因为彩虹表的大小呈指数增长。

引用同一篇文章的评论

每次你在密码中添加一个字符，你都会成倍地增加通过暴力破解密码所需的难度。例如，8字符密码的密钥空间为95^8组合，而20字符密码的密钥空间为95^20组合。

因此，对于一个带有bcrypt的20长密码，需要95^20 / (71 000 * 3600 * 24 * 365)到10度的28度年(如果我做对了)。

qsn1:，在这种情况下，使用河豚是否意味着不将密码的最大长度限制为72，因为在此之后，所有内容都将被截断，因此这里没有额外的安全增益。

qsn2:即使salt存在(对于每个用户都是唯一的，并且保存在db中)，毕竟我想在密码中添加胡椒(在应用程序中硬编码，而不是在db中保存)。我知道是否会增加一些额外的安全性，但我考虑的是如果db (或db备份)只是泄漏，胡椒将是有用的。因此，为了能够添加20个字符胡椒，我需要使密码最大长度到大约50。我想是这样的:假设用户正在使用70个字符，在大多数情况下(如果不是全部的话)，它将是一些短语或类似的词，而不是生成强的，所以限制用户50最大长度，再添加一个20-22字符胡椒，这肯定更安全/随机。此外，让我们说，黑客正在使用彩虹表的“常见短语”，我认为有更高的机会，72 character common phrase将被黑，比50 character common phrase + 22 character random string。那么，这种方法与胡椒和50最大长度更好，还是我做错了，它是最好留下72最大值限制(如果qsn1是好的)？

谢谢

BTW:

根据Owasp，密码的合理最大长度为160 credentials

google的密码最大长度为100。

​

​

Wordpress的最大限制为50

https://signup.wordpress.com/signup/