密碼重新散列是否有實際的上限？

使用 PBKDF2 時，是否存在實際的迭代次數上限，超過該上限我們會失去安全性？

**注意：*如果您回答“否”，那很好。但如果你回答：“不可能有上限”*，請考慮以下情況 $ 2^{256} $ 使用 SHA-256 進行迭代。

使用 PBKDF2 時，是否存在實際的迭代次數上限，超過該上限我們會失去安全性？

不。

有一個限制，您將無法獲得安全性，但這是不切實際的。它的順序是 $ 2^{128} $ PBKDF2-HMAC-SHA-2 的迭代，或 $ 2^{80} $ 如果您使用 SHA-1 作為 HMAC 雜湊。有關解釋，請參閱評論中連結的問題 mikeazo 。

然而，由於PBKDF2 的結構，迭代雜湊中的這些衝突可能不會撤消先前的迭代，它們只會添加到它們（XOR）。因此，您在迭代函式中遇到衝突這一事實確實限制了您可以從高迭代次數中獲得多少安全性，因為如果攻擊者註意到衝突，他們可能會停止迭代。儘管如此，他們需要做到這一點，最終的雜湊可能仍然與所有其他密碼不同，所以這並不意味著這些額外的迭代會使其更弱。

您會在同一時間注意到的循環在技術上可以“撤消”先前的迭代，但是循環開始之前的唯一迭代仍然很強大，並且預期的迭代數量也接近 $ 2^{128} $ 對於 256 位雜湊。

引用自：https://crypto.stackexchange.com/questions/18066