PHP: password_hash () - devo definire il costo?

1

Devo necessariamente definire il "costo" per password_hash() ?

C'è un valore predefinito per il costo?

So che usare il sale personalizzato con password_hash() non è raccomandato.

Quanto tempo ci vuole per hash con password_hash() da solo E quanto tempo per password_hash() con bcrypt?

    
posta jack 08.08.2016 - 23:15
fonte

1 risposta

3

In base alla documentazione per password_hash() , il costo predefinito è 10. Sulla mia macchina ci vogliono circa 60 ms per calcolare. Meglio di una funzione di hash non adattiva (penso semplice SHA1 o MD5), preferirei che sia più vicino a 500-800ms (costo 13 sulla mia macchina). La raccomandazione generale che faccio è di eseguire alcune misurazioni sui server di produzione e impostare il costo in base a ciò che ritieni di poter gestire in modo ragionevole senza incidere troppo sulla UX.

    
risposta data 08.08.2016 - 23:31
fonte

Leggi altre domande sui tag