计算 MCrypt IV 和哈希的最大长度？

Question

我一直在对创建一些不同的哈希等进行一些研究。我知道password_hash() 函数，但是我目前正在使用 mcrypt 创建一个初始化值。出现的问题是，如果密码大于 8 个字符，一些散列密码会被截断。

我当前的代码在用户密码中添加了盐（由mcrypt_create_iv() 创建）。然后使用hash() 函数对其进行加密。 密码的标准是 8->40 个字符。

我在 MySQL 中的列看起来像使用 latin1_swedish_ci 排序规则的 varchar (64)。

如何计算初始化值的最大长度（MySQL 长度），以及用户输入密码的最大长度？

免责声明：我故意省略了加密，但会感谢任何有关不同密码块初始值长度和哈希长度的文档。 （不确定术语，希望有意义。）

Answer 1

哈希函数以及password_hash() - 使用 HMAC 或加密 MAC 实现不同的基于密码的密钥派生函数 (PBKDF) - 对于任何输入值总是返回相同数量的数据。如果密码被截断，那是因为代码发生在之前任何这些函数被调用。如果您使用 SHA-1，这些函数通常会返回 20 个字节。

当然盐值也需要存储。

如果您使用十六进制存储它，那么与二进制值相比，您需要两倍的字符数。如果您使用 base 64 编码，如果您包含填充，则需要 ((size + 2) / 3 * 4) 字符。

因此，您的密码可以任意长或短，盐分每个字节占用一个字节（编码）。

强烈建议您还存储所用函数的某种指标。这可能是一个指示您当前协议的字节。这样，一旦用户返回填写他的（新）密码，您就可以升级每个条目的密码协议。