Оптимальный коэффициент работы bcrypt

Что было бы идеальным фактором работы bcrypt для hashирования паролей.

Если я использую коэффициент 10, для hashирования пароля на моем ноутбуке требуется приблизительно 1 с. Если мы закончим работу с очень загруженным сайтом, это превратится в хорошую работу, просто проверяя пароли пользователей.

Возможно, было бы лучше использовать коэффициент работы 7, уменьшив общую hash-запись пароля примерно до 0,01 на один ноутбук?

Как вы решаете компромисс между безопасностью грубой силы и эксплуатационными расходами?

    One Solution collect form web for “Оптимальный коэффициент работы bcrypt”

    Помните, что значение хранится в пароле: $2a$(2 chars work)$(22 chars salt)(31 chars hash) . Это не фиксированное значение.

    Если вы обнаружите, что загрузка слишком высока, просто сделайте так, чтобы при следующем входе в систему вы склеивали что-то быстрее для вычисления. Аналогичным образом, по прошествии времени, и вы получаете лучшие серверы, если загрузка не является проблемой, вы можете обновить силу своего хеша при входе в систему.

    Хитрость заключается в том, чтобы держать его примерно столько же времени навсегда в будущем вместе с законом Мура. Число – log2, поэтому каждый раз, когда компьютеры удваивают скорость, добавьте 1 к номеру по умолчанию.

    Определите, сколько времени вы хотите, чтобы перевести пароль пользователя. Например, для некоторого общего словарного слова создание вашей учетной записи, вероятно, уже предупредило их, что их пароль был слабым. Если это одно из 1000 распространенных слов, скажем, и для каждого из них требуется атакующий 0.1s, который покупает их 100 с (ну, некоторые слова более распространены …). Если пользователь выбрал «общее словарное слово» + 2 числа, это более двух часов. Если ваша firebase database паролей скомпрометирована, а злоумышленник может получить всего несколько сотен паролей в день, вы купили большую часть своих пользователей часов или дней, чтобы безопасно менять свои пароли. Это вопрос их покупки.

    http://www.postgresql.org/docs/8.3/static/pgcrypto.html имеет несколько раз для взлома паролей для вас. Конечно, в паролях, которые они перечисляют, есть случайные буквы. Словарные слова … Практически говоря, вы не можете спасти парня, у которого пароль 12345.

    Interesting Posts

    Как сделать радарную диаграмму пирога

    Запустите команду для каждого файла в каталоге, изменив имя вывода

    Просмотр инкрементных различий в моих версиях файлов с помощью Dropbox

    Окна с двумя мониторами Windows 7 перемещаются, когда экран заблокирован

    Остановить EditText от получения фокуса при запуске Activity

    Использовать внутренние динамики без отсоединения наушников?

    Разбор JSON DateTime от JSON Serializer от Newtonsoft

    Можно ли использовать 32-разрядный драйвер на 64-разрядной Windows 7?

    Как удалить Adobe Reader 9 для Mac?

    Где в диалоговом окне «Параметры папки» вы попали в предварительный просмотр Windows 8?

    JavaScript: изменение src-атрибута встраиваемого тега

    Как определить, существует ли дата между двумя датами в Java?

    В MATLAB, могу ли я иметь скрипт и определение функции в том же файле?

    Драйверы для наушников с встроенным микрофоном и пультом дистанционного управления

    Попытка получить размер изображения в ImageView

    Давайте будем гением компьютера.