Optymalny współczynnik pracy bcrypt

Pamiętaj, że wartość jest zapisana w haśle: $2a$(2 chars work)$(22 chars salt)(31 chars hash). Nie jest to wartość stała.

Jeśli okaże się, że obciążenie jest zbyt wysokie, po prostu zrób tak, aby następnym razem, gdy się logują, kryptowaluta na coś szybciej obliczyć. Podobnie, w miarę upływu czasu i uzyskiwania lepszych serwerów, jeśli obciążenie nie jest problemem, możesz zwiększyć siłę ich hasha po zalogowaniu.

Zdecyduj, jak długo chcesz, aby brutalnie wymusić hasło użytkownika. Na przykład dla niektórych popularnych słów słownikowych, tworzenie konta prawdopodobnie ostrzegało ich, że ich hasło jest słabe. Jeśli jest to jeden z 1000 wspólnych słów, powiedzmy, i zajmuje atakującemu 0.1 s, aby przetestować każdy, to kupuje im 100s (cóż, niektóre słowa są bardziej powszechne...). Jeśli użytkownik wybrał 'wspólne słowo słownikowe' + 2 cyfry, to koniec dwie godziny. Jeśli baza danych haseł jest zagrożona, a atakujący może uzyskać tylko kilkaset haseł dziennie, większość użytkowników kupiła godziny lub dni na bezpieczną zmianę haseł. To kwestia czasu.

Http://www.postgresql.org/docs/8.3/static/pgcrypto.html ma trochę czasu na łamanie haseł do rozważenia. Oczywiście hasła, które tam wymieniają, to losowe litery. Słownikowe słowa... Praktycznie rzecz biorąc nie można uratować faceta, którego hasło to 12345.