背景及PBKDF2的支持: 关于存储用户密码的思考,bcrypt 和 PBKDF2算法
PHP 5.5内构了 Bcrypt 算法用作密码加密算法,且官方文档曾经注明 bcrypt 为当前最好的选择,但是大师们没有解释为什么PBKDF2不是密码加密的最好选择,尽管PHP官方同样完美支持PBKDF2算法。原文找不着了,抱歉。
Django则最先纳入PBKDF2为推荐哈希方法。
Ruby 的OpenSSL模块里有一个 PBKDF2-HMAC-SHA1 的实现。
Java和Node的选择同样是PBKDF2
其他背景资料和轮粘贴:
Do any security experts recommend bcrypt for password storage?
可见各个语言组织甚至不同开发者,对此的选择倾向都并不尽相同。这里面有很多安全领域的分析,小web程序猿表示看不明白,有没有懂的大神分享一下这里面的道道。
更恐怖的是,尽管双方都有明确的支持者。然而有些人的说法则非常骇人听闻:
1. 比如这篇 Unlimited Novelty: Don't use bcrypt
2. ircmaxell's blog: Why I Don't Recommend Scrypt