Da quello che ho letto, scrypt è (sulla carta) più sicuro di bcrypt, ma è piuttosto nuovo quindi è meglio lasciarlo testare e analizzare per tempo. Tuttavia, esiste una buona ragione convincente per supporre che non reggerà il confronto?
Non ancora. Se ci fossero ragioni valide, convincenti, i crittografi avrebbero già messo in guardia le persone dall'usarlo. Internamente utilizza SHA-1, che ha mostrato punti deboli per le collisioni, ma nell'archiviazione delle password, la preoccupazione è rappresentata da attacchi di preimage più che da punti deboli, e non vi sono indicazioni che SHA-1 cadrà negli attacchi di preimage nel prossimo futuro. Scrypt è incredibilmente semplice nella struttura, dubito che in esso sarebbe presente qualsiasi debolezza che non sarebbe in realtà una debolezza in SHA-1.