用大白话解释 BCrypt 的原理与使用
一句话总结:
BCrypt 是密码存储的“安全卫士”,通过加盐、慢哈希和自适应成本,让破解密码变得极其困难,即使数据库泄露,黑客也束手无策!
一、BCrypt 的核心原理
1. 加盐(Salt)—— 给密码撒“调味料”
-
作用:相同密码经过加盐后,哈希值不同,防止“彩虹表”攻击。
-
示例:
- 用户A密码
123456+ 盐abc→ 哈希值x9... - 用户B密码
123456+ 盐def→ 哈希值y3...
- 用户A密码
2. 慢哈希(Slow Hash)—— 故意“拖慢”计算速度
-
作用:增加哈希计算时间(比如每次计算耗时 0.5 秒),让暴力破解成本极高。
-
对比:
- MD5:每秒可计算数百万次。
- BCrypt:每秒只能计算几千次。
3. 自适应成本(Work Factor)—— 动态调整难度
- 作用:随着硬件性能提升,可调高计算成本(迭代次数),保持安全性。
- 代码参数:
BCrypt.gensalt(12)中的12表示成本系数(默认 10)。
二、在 Android 中使用 BCrypt
1. 添加依赖
BCrypt 不是 Android 原生库,需引入第三方实现(如 jBCrypt):
dependencies {
implementation 'org.mindrot:jbcrypt:0.4'
}
2. 密码加密与验证
// 加密密码(自动生成盐)
val password = "user123"
val salt = BCrypt.gensalt() // 默认成本系数为 10
val hashedPassword = BCrypt.hashpw(password, salt)
// 验证密码
val isMatch = BCrypt.checkpw("user123", hashedPassword) // true
val isWrong = BCrypt.checkpw("wrong", hashedPassword) // false
3. 自定义成本系数
// 提高计算成本(更安全但更慢)
val highCostSalt = BCrypt.gensalt(12)
val hashed = BCrypt.hashpw(password, highCostSalt)
三、BCrypt 的哈希值结构
BCrypt 的哈希值包含算法标识、成本系数、盐值和哈希结果,格式如下:
$2a$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy
__// ____________________/___________________________/
算法 成本 盐值(22字符) 哈希结果(31字符)
- 算法标识:
$2a$表示 BCrypt 算法版本。 - 成本系数:
10表示 2^10 次迭代。
四、实际场景与注意事项
1. 适用场景
- 用户密码存储(注册、登录)。
- 敏感数据保护(如 API 密钥哈希)。
2. 性能优化
-
避免主线程:BCrypt 计算耗时,需在后台线程执行。
viewModelScope.launch(Dispatchers.IO) { val hashed = BCrypt.hashpw(password, BCrypt.gensalt()) // 存储到数据库... } -
合理选择成本系数:
- 默认
10(约 100ms),高端设备可设12。
- 默认
3. 安全性建议
- 不要自己实现哈希算法!BCrypt 经过严格安全验证。
- 结合 HTTPS:确保密码传输过程加密。
- 定期更新成本系数:随着硬件升级,逐步提高系数。
五、对比 MD5/SHA 的优势
| 特性 | BCrypt | MD5/SHA |
|---|---|---|
| 抗彩虹表攻击 | ✅ 自动加盐 | ❌ 需手动加盐 |
| 抗暴力破解 | ✅ 慢哈希,成本可调 | ❌ 计算极快 |
| 安全性 | ✅ 行业推荐 | ❌ 已不推荐 |
总结
“密码存储别裸奔,BCrypt 来当门神,
自动加盐防撞库,慢哈希拖慢破解人,
成本系数可调节,硬件升级也不慌,
线程记得放后台,安全登录有保障!
