パスワードの長さの制限を回避するためにbcryptを適用する前にパスワードを事前にハッシュする

パスワードの長さを不必要に制限しないことをお勧めします。そのため、適切に長いパスフレーズ（おそらく6/7のダイスワードでは35〜45文字）を使用できます。 （例： パスワードの最大長はありますか？ 長いパスワードを設定するユーザーの機能を制限せずにDoSから保護するために、最大1Kが推奨されます。）

bcryptも一般的に推奨されます（例： パスワードの保存にセキュリティの専門家がbcryptを推奨していますか？ 、 http://chargen.matasano.com/chargen/2007/9/7/enough- with-the-Rainbow-tables-what-you-need-to-know-about-s.html ）

また、salt（ランダムで、パスワードハッシュとともに保存される）を使用することをお勧めします。32ビット（4文字）がしばしば推奨されると思います。 （ソルトサイズの根拠は「組み合わせの数がユーザーレコードの数よりもはるかに多く、Rainbowテーブルを実行不可能に大きくするのに十分であること」です-2番目の部分には16ビットで十分ですが、最初は十分です。）

ただし、AIUI bcryptのハッシュは55バイトのみです。ソルトには4文字、パスワードには51が残ります。

私はbcrypt（left（password、51））だけではなく、最後の文字を無視するべきではないと思います。

ユーザーのパスワードを50文字に制限する必要がありますか（ほぼ全員に十分ですが、間違いなく十分ではありません）？

代わりにbcrypt（sha256（salt + password））のようなものを使用し、最大1K文字を許可する必要がありますか？それとも、sha256（またはsha512？）ステップを追加すると、全体的なセキュリティがどういうわけか低下しますか？

ScryptまたはPBKDF2にも同様の長さ制限がありますか？

（最後の質問は本当に興味があるだけです-スペース硬度/ FPGA耐性、およびscryptの相対的な新しさ、およびPBKDF2と比較したbcryptのGPGPU耐性は、どのハッシュを決定する際のはるかに重要な考慮事項であることを理解しています使用する。）