Оптимальный коэффициент работы bcrypt

Что было бы идеальным фактором работы bcrypt для hashирования паролей.

Если я использую коэффициент 10, для hashирования пароля на моем ноутбуке требуется приблизительно 1 с. Если мы закончим работу с очень загруженным сайтом, это превратится в хорошую работу, просто проверяя пароли пользователей.

Возможно, было бы лучше использовать коэффициент работы 7, уменьшив общую hash-запись пароля примерно до 0,01 на один ноутбук?

Как вы решаете компромисс между безопасностью грубой силы и эксплуатационными расходами?

    One Solution collect form web for “Оптимальный коэффициент работы bcrypt”

    Помните, что значение хранится в пароле: $2a$(2 chars work)$(22 chars salt)(31 chars hash) . Это не фиксированное значение.

    Если вы обнаружите, что загрузка слишком высока, просто сделайте так, чтобы при следующем входе в систему вы склеивали что-то быстрее для вычисления. Аналогичным образом, по прошествии времени, и вы получаете лучшие серверы, если загрузка не является проблемой, вы можете обновить силу своего хеша при входе в систему.

    Хитрость заключается в том, чтобы держать его примерно столько же времени навсегда в будущем вместе с законом Мура. Число – log2, поэтому каждый раз, когда компьютеры удваивают скорость, добавьте 1 к номеру по умолчанию.

    Определите, сколько времени вы хотите, чтобы перевести пароль пользователя. Например, для некоторого общего словарного слова создание вашей учетной записи, вероятно, уже предупредило их, что их пароль был слабым. Если это одно из 1000 распространенных слов, скажем, и для каждого из них требуется атакующий 0.1s, который покупает их 100 с (ну, некоторые слова более распространены …). Если пользователь выбрал «общее словарное слово» + 2 числа, это более двух часов. Если ваша firebase database паролей скомпрометирована, а злоумышленник может получить всего несколько сотен паролей в день, вы купили большую часть своих пользователей часов или дней, чтобы безопасно менять свои пароли. Это вопрос их покупки.

    http://www.postgresql.org/docs/8.3/static/pgcrypto.html имеет несколько раз для взлома паролей для вас. Конечно, в паролях, которые они перечисляют, есть случайные буквы. Словарные слова … Практически говоря, вы не можете спасти парня, у которого пароль 12345.

    Interesting Posts
    Давайте будем гением компьютера.