No momento estou tentando construir um sistema de login com uma segurança muito alta. Então eu quero usar bcrypt e Ive também encontrou uma biblioteca de terceiros, py-bcrypt. Mas o autor disse que é uma implementação de python puro. Agora eu li em algum lugar que não é recomendado usar bcrypt em python apenas porque é muito lento e isso resulta em um vazamento de segurança. Bcrypt deve ser implementado em C. Alguém pode confirmar isso Agora o que devo fazer bcrypt (python) SHA512 (de hashlib) algo diferente Im usando o Google App Engine Deve-se notar que a implementação de puro-python (4) é muito lento para ser Utilizável, dado o número de rodadas actualmente exigidas para a segurança. Devido a isso, ele é desabilitado por padrão, a menos que a variável de ambiente PASSLIBBUILTINBCRYPTenabled esteja definida. Jul 9 12 at 10:49 fechado como não construtivo por casperOne Jul 10 12 at 14:01 Como está atualmente, esta questão não é um bom ajuste para o nosso formato QampA. Esperamos que as respostas sejam apoiadas por fatos, referências ou especialização, mas esta questão provavelmente solicitará debates, discussões, pesquisas ou discussões ampliadas. Se você acha que esta questão pode ser melhorada e possivelmente reaberta, visite o centro de ajuda para orientação. Se esta pergunta puder ser reformulada para se adequar às regras na Central de Ajuda. Por favor, edite a pergunta. Por que seria quotbeing slowquot ser considerado um vazamento de segurança ndash Martin Konecny Jul 27 13 at 14:20 2 Respostas Como cerca de comparar os dois Aqui está o código para hash uma senha de 8000 bits aleatórios e correspondentes vezes: Hashlib incluindo sal: 11:26 Eu modifiquei o script hashlib para incluir também um sal de 32 bytes, e os números são ainda mais ou menos o mesmo ndash Chopstick Jul 9 12 at 11:44 ok agora bcrypt corre 10 vezes mais lento do que sha512 que é melhor para ataques brutforce. Mas o sha512 tem 128 letras. Não devia pesar-se, mesmo com ataques violentos. Ndash Maik Klein Jul 9 12 at 11:57 Chopstick Usando uma função de hash em uma senha uma vez é completamente inseguro e uma maneira absolutamente inaceitável de quotstoringquot uma senha. Se você estiver interessado em um esquema de armazenamento de senha baseado em hash simples seguro, você pode usar PBKDF2 com um grande (5 ou 6 dígitos) número de rodadas, embora bcrypt é uma solução ainda melhor. Edit: Isto deve ser direcionado para o OP também. Eu reagi a sua resposta mais, uma vez que continha o código real. Ndash Matt Nordhoff Nov 17 13 em 8:22
No comments:
Post a Comment