Duplicar posible:
What is the optimal length for user password salt?sal contraseña óptima longitud
Me trató de encontrar la respuesta a esta pregunta desbordamiento de pila sin ningún éxito.
Digamos que almaceno contraseñas usando SHA-1 hash (entonces son 160 bits) y supongamos que SHA-1 es suficiente para mi aplicación. ¿Cuánto tiempo debería durar la sal para generar el hash de la contraseña?
La única respuesta que encontré fue que no tiene sentido hacerla más larga que el propio hash (160 bits en este caso) que suena lógico, pero ¿debería hacerlo por tanto tiempo? P.ej. Ubuntu usa sal de 8 bytes con SHA-512 (supongo), entonces ¿serían suficientes 8 bytes para SHA-1 o quizás sería demasiado?
¿Por qué desea utilizar SHA-1 y no una verdadera función hash de la clave como bcrypt/scrypt? – Venge