Estoy planeando usar jBCrypt para el hash de contraseñas en una nueva aplicación web, ya que se supone que es el mejor de lo que he leído. Como no lo he usado antes, estoy investigando si hay alguna razón para no usarlo.¿Qué usar para el hash de contraseñas? ¿Alguna razón para no usar jBCrypt?
tengo esto:
- no he encontrado que en el repositorio de Maven (buscado jbcrypt y bcrypt en mvnrepository.org), que es una decepción ya que me gusta tener mis dependencias gestionan mediante un repositorio de Maven si es posible. Si jBCrypt es la mejor solución para la creación de contraseñas, tendré que configurar mi propio repositorio local y tenerlo disponible de esa manera. ¿O simplemente me lo perdí? Tal vez está allí en alguna parte?
- Está solo en la versión 0.2, pero ¿tal vez es estable de todos modos y el motivo de un número de versión bajo tiene alguna otra causa?
Sí, ahora está en mi control de versión. Debería buscar estas debilidades conocidas en Blowfish, ya que son nuevas para mí. Con respecto al "ataque de texto llano conocido estilo crack", ¿te refieres a un ataque tipo diccionario de fuerza bruta? Si ese es el reparto, es la razón por la que quiero usar Blowfish, ya que es un algoritmo lento. –
No, busque la grieta de Alec Muffet: calcula previamente un gran diccionario de contraseñas comunes y luego compara los textos cifrados. Y no es que Blowfish haya tenido fallas conocidas, sino que se ha informado que algunas implementaciones tienen fallas. –
Hm, está bien. Pero estoy usando la saldadura de pasword para que un ataque de diccionario no sea posible de esa manera. –