〇、简介
Bcrypt 是一种基于 Blowfish 加密算法的单向哈希函数,专为密码存储设计 。它通过**随机盐值(salt)和可调节的工作因子(cost factor)**实现高安全性,是目前主流的密码哈希算法之一。
核心原理:
- 随机盐值(Salt) :每次加密时生成一个随机盐值(16 字节),与密码混合后生成哈希值 。确保相同密码生成不同哈希值,防止彩虹表攻击(Rainbow Table Attack)。
- 可调节的工作因子(Cost Factor) :通过调整工作因子(log2:迭代次数),控制哈希计算的复杂度。范围通常为 4~31(默认 10),值越大,计算时间越长 ,安全性越高。计算公式:迭代次数 = 2^cost(例如 cost=12 表示 4096 次迭代)。增加了暴力破解的时间成本,适应硬件性能提升。
- 基于 Blowfish 的密钥扩展:大概流程,首先将密码和盐值组合,生成 EksBlowfish 密钥(Expensive Key Schedule)。对固定字符串 "OrpheanBeholderScryDoubt" 进行多次 Blowfish 加密(根据工作因子决定迭代次数)。最终生成哈希值(60 字符的固定格式字符串)。
工作因子配置和计算耗时的大概规律:(注:基于博主当前机器的性能,仅供参考!)
|----------------|----------|
| workFactor | 计算用时 |
| 8 | 16ms |
| 10(默认值,推荐) | 55ms |
| 12 | 210ms |
| 14 | 840ms |
| 16 | 3000ms+ |
// 密文的格式:
$2b$<cost>$<salt><hash>
// 示例:
$2b$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy
// 各个部分的含义:
// $2b$:版本标识(2b 表示当前标准版本)。
// 10:工作因子(2^10 = 1024 次迭代)。
// N9qo8uLOickgx2ZMRZoMye:盐值(22 字符,Base64 编码)。
// IjZAgcfl7p92ldGxad68LJZdL17lhWy:哈希结果(31 字符)。安全性:
抗彩虹表攻击。 每次加密使用随机盐值,相同密码生成不同哈希值。彩虹表(预计算的哈希值表)无法直接匹配,需逐个尝试破解。
抗暴力破解。 工作因子控制计算时间(默认约 0.3 秒/次)。即使使用 GPU 并行计算,暴力破解成本极高(例如:cost=12 时,破解百万级密码需数年)。
**自适应性。**随着硬件性能提升,可动态增加工作因子(如从 10 调整为 12),保持安全性。
与传统哈希算法的对比:
| 特性 | Bcrypt | MD5/SHA 系列 |
|---|---|---|
| 抗彩虹表攻击 | 强(通过盐值和多次迭代) | 弱(容易受彩虹表攻击) |
| 计算速度 | 慢(故意设计为"慢哈希") | 快(适合文件校验,但不适合密码) |
| 工作因子 | 支持(可调) | 不支持 |
| 不可逆性 | 是(单向哈希) | 是(单向哈希) |
| 适用场景 | 密码存储 | 文件校验、数字签名(不推荐密码) |
主要应用场景:
- **用户密码存储:**注册和登录时加密密码,防止数据库泄露后密码被窃取。
- **企业级安全框架:**Spring Security 推荐使用 BCryptPasswordEncoder,默认支持 Bcrypt。
- **数据保护:**对敏感信息(如 API 密钥)进行哈希处理,确保即使数据泄露也无法直接获取明文。
一、C# 语言实现
先安装依赖:Install-Package BCrypt.Net-Next。
using BCrypt.Net;
try
{
string password = "MySecurePassword123";
int workFactor = 16; // 默认值 10,取值范围 4~31
// 加密
string hashedPassword = BCrypt.Net.BCrypt.EnhancedHashPassword(password, workFactor);
Console.WriteLine("Hashed Password:" + hashedPassword);
// $2a$10$n3WUdgGrTSVEZ1L3pTxkweeHXqUaWEXwvBI.gOnkTO17eL/ZqhBaG
// 验证
bool isMatch = BCrypt.Net.BCrypt.EnhancedVerify(password, hashedPassword);
Console.WriteLine("Password Match:" + (isMatch ? "匹配" : "不匹配"));
}
catch (Exception ex)
{
Console.WriteLine("验证失败: " + ex.Message);
}
//Hashed Password:$2a$12$h8EnoQF6QYZDtbrCSGuDxeKjMt.Y0dcnWjFrz4sgEyhXlt.5VQs7G
//Password Match:匹配二、js 语言实现
引用第三方库 bcryptjs 实现加密和验证。安装命令:
npm install bcryptjs加密和验证的简单示例代码:
const bcrypt = require('bcryptjs');
try {
// 要加密的密码
const password = 'MySecurePassword123';
// 工作因子(cost factor):控制哈希复杂度,推荐值 10
const saltRounds = 10;
// 【加密】生成盐并哈希密码(异步)
const hashedPassword = await bcrypt.hash(password, saltRounds)
console.log('Hashed Password:', hashedPassword);
// 【解密】
const bcrypt = require('bcryptjs');
// 用户输入的密码
const inputPassword = 'MySecurePassword123';
// 数据库中存储的哈希值
const storedHashedPassword = '$2a$12$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy';
// 验证密码是否匹配
const isMatch = await bcrypt.compare(inputPassword, storedHashedPassword);
}
catch (error) {
console.error('Error:', error);
}三、go 语言实现
在 Go 语言中使用 Bcrypt 进行密码哈希和验证,通常依赖官方推荐的第三方库 golang.org/x/crypto/bcrypt。该库提供了安全、高效的 Bcrypt 实现,适合用于密码存储和验证场景。
// 安装
go get golang.org/x/crypto/bcrypt加密和验证简单示例:
package main
import (
"fmt"
"golang.org/x/crypto/bcrypt"
)
func main() {
// 明文密码
password := "MySecurePassword123"
// 【生成】哈希密码(使用默认工作因子)
hashedPassword, err := bcrypt.GenerateFromPassword([]byte(password), bcrypt.DefaultCost)
// hashedPassword, err := bcrypt.GenerateFromPassword([]byte(password), 12) // 自定义工作因子
if err != nil {
panic("生成哈希失败: " + err.Error())
}
fmt.Println("Hashed Password:", string(hashedPassword))
// 【验证】密码是否匹配
err := bcrypt.CompareHashAndPassword([]byte(hashedPassword), []byte(password))
if err != nil {
fmt.Println("密码不匹配:", err)
} else {
fmt.Println("密码匹配")
}
}