#java# 规范 1.8.4 条修订建议

[hyfree]

1、问题描述 建议采用随机盐+明文密码进行多轮哈希后存储密码。

2、解决建议

【必须】随机盐必须是符合密码学安全的随机数。禁止使用Random类生产。 【必须】随机盐的长度不能太短，建议至少256比特。 【建议】盐值至少和哈希函数的输出一样长 【必须】每次使用的盐必须随机化和一次性，禁止使用共享的随机盐，注册或者修改密码时，都应该使用新的盐值进行加密。 【必须】使用哈希函数必须是sha256或以上 【建议】建议使用受业界认可的慢哈希算法 【建议】多轮的次数应该充分多 【建议】可以记录多轮的次数和加密算法，以便进行后续的维护升级