Quanti cicli di bcrypt sono necessari?

2

Sto creando un'app e sto utilizzando bcrypt per crittografare le password.

Non ho alcuna conoscenza precedente su bcrypt e ancora non ne so molto, so che dovrebbe essere una crittografia sicura cpu-intensive .

Dopo averlo implementato ieri ho notato che le mie iscrizioni stanno diventando incredibilmente lente, impiegando circa 5-10 secondi per completare. Avevo pensato che fosse solo il mio computer lento (con il server in esecuzione), tuttavia dopo aver inserito alcuni punti di interruzione sul server, ho notato che si stava fermando mentre eseguivo l'hashing della password.

Ho messo a punto i round da 15 a 1, e tutto ha iniziato a funzionare senza intoppi.

Ho anche controllato il database per vedere se forse la password era la stessa / simile alla password di input, sembra altrettanto casuale - quindi di nuovo sono un umano e non un forzante bruto bot.

La mia domanda è, 15 round non lo taglieranno a meno che il mio computer sia davvero super lento, e il server medio possa eseguire hash 15 round in meno di 10 secondi, e 1 non è affatto sicuro, cosa è la migliore quantità di round per hash?

Sto utilizzando bcryptjs che potrebbe non essere d'aiuto con le velocità - essendo javascript.

    
posta Tobiq 10.10.2016 - 06:14
fonte

1 risposta

3

Intendi 6 round o costa 6? Perché il costo 6 è 2 ^ 6 = 64 giri.

Al giorno d'oggi il costo 10-12 è considerato il minimo. Tuttavia, devi cercare il massimo che l'hardware può gestire.

Il processo di hashing dovrebbe durare approssimativamente un secondo.

    
risposta data 10.10.2016 - 09:31
fonte

Leggi altre domande sui tag