online faucet desencriptar bcrypt

faucet - bcrypt salt



Factor de trabajo bcrypt óptimo (1)

Lo que sería un factor ideal de trabajo de brypt para el hash de contraseñas.

Si utilizo un factor de 10, se necesita aproximadamente .1 para obtener una contraseña en mi computadora portátil. Si terminamos con un sitio muy ocupado, eso se convierte en una gran cantidad de trabajo simplemente revisando las contraseñas de las personas.

¿Tal vez sería mejor usar un factor de trabajo de 7, reduciendo el trabajo total de hash de contraseñas a alrededor de .01 por cada inicio de sesión de computadora portátil?

¿Cómo se decide la compensación entre la seguridad de la fuerza bruta y el costo operativo?


Recuerde que el valor se almacena en la contraseña: $2a$(2 chars work)$(22 chars salt)(31 chars hash) . No es un valor fijo.

Si encuentra que la carga es demasiado alta, simplemente hágalo para que la próxima vez que inicien sesión, críptice algo más rápido para calcular. De manera similar, a medida que pasa el tiempo y obtienes mejores servidores, si la carga no es un problema, puedes actualizar la fortaleza de su hash cuando inician sesión.

El truco es mantenerlo tomando aproximadamente la misma cantidad de tiempo para siempre en el futuro junto con la Ley de Moore. El número es log2, de modo que cada vez que las computadoras dupliquen su velocidad, agregue 1 al número predeterminado.

Decide cuánto tiempo quieres que lleve a fuerza bruta la contraseña de un usuario. Para una palabra de diccionario común, por ejemplo, la creación de su cuenta probablemente ya les advirtió que su contraseña era débil. Si es una de las 1000 palabras comunes, por ejemplo, y toma un atacante 0.1s para probar cada una, que las compra 100 (bueno, algunas palabras son más comunes ...). Si un usuario elige ''palabra de diccionario común'' + 2 números, eso es más de dos horas. Si su base de datos de contraseñas está comprometida y el atacante solo puede obtener unos cientos de contraseñas por día, habrá comprado la mayoría de sus usuarios horas o días para cambiar sus contraseñas de manera segura. Es una cuestión de comprarles tiempo.

http://www.postgresql.org/docs/8.3/static/pgcrypto.html tiene algunas veces para descifrar las contraseñas para que las considere. Por supuesto, las contraseñas que enumeran allí son letras aleatorias. Palabras de diccionario ... Prácticamente hablando, no puede guardar al tipo cuya contraseña es 12345.