Hash

較短的密碼雜湊是否安全?

  • September 23, 2015

在密碼雜湊開始影響安全性之前,我可以縮短多少?

假設我使用帶有 HMAC-SHA256 作為 PRF 的 PBKDF2(正確加鹽)。據我所見,通常使用 256 位輸出,因為這與 PRF 的輸出相匹配。

我的直覺表明,如果將此輸出截斷為 128 位,則不會對安全造成影響。這個對嗎?我的理由是加鹽可以防止多目標攻擊,並且衝突在密碼驗證的上下文中並不重要。

我的直覺表明,如果將此輸出截斷為 128 位,則不會對安全造成影響。這個對嗎?我的理由是加鹽可以防止多目標攻擊,並且衝突在密碼驗證的上下文中並不重要。

正確,沒有實際的安全影響。散列函式的原像安全性對於密碼散列很重要,128 位的長度足以防止暴力原像搜尋。您甚至可能會比這更短,但數據庫空間通常很便宜,這就是為什麼使用完整的 256 位很常見的原因。

原則上,使用 129 位以上的熵密碼,您會失去一些安全性,因為尋找具有相同雜湊值的密碼的蠻力攻擊會變得更快。然而,這樣的密碼非常少見,即使理論上更快,暴力破解仍然是不可行的。

(如果在一些新的攻擊之後發現 SHA-256 非常弱,那麼所有的賭注都沒有了。這種攻擊可以允許對截斷的輸出進行更快的原像攻擊,或者不能。甚至可能是相反的情況。)

引用自:https://crypto.stackexchange.com/questions/29327