¿Cuántas rondas bcrypt son necesarias?

2

Estoy creando una aplicación y estoy usando bcrypt para cifrar las contraseñas.

No tengo conocimiento previo sobre bcrypt y aún no sé mucho, sé que se supone que es un cifrado cpu-intensive seguro.

Después de implementarlo ayer, noté que mi registro se estaba volviendo extremadamente lento, y demoraba entre 5 y 10 segundos en completarse. Pensé que solo era mi computadora lenta (ejecutando el servidor); sin embargo, después de insertar algunos puntos de interrupción en el servidor, noté que se detenía al insertar la contraseña con hash.

Afiné las rondas de 15 a 1, y todo comenzó a funcionar sin problemas.

También revisé la base de datos para ver si tal vez la contraseña era la misma / similar a la contraseña de entrada, parece que es igual de aleatoria; nuevamente, soy un humano y no un robot de fuerza bruta.

Mi pregunta es que 15 rondas no lo reducirán a menos que mi computadora realmente sea súper lenta, y el servidor promedio pueda realizar 15 rondas en menos de 10 segundos, y 1 supuestamente no es seguro en absoluto, lo que es la mejor cantidad de rondas de hash?

Estoy usando bcryptjs que puede no estar ayudando con las velocidades, al ser javascript.

    
pregunta Tobiq 10.10.2016 - 06:14
fuente

1 respuesta

3

¿Te refieres a 6 rondas, o cuesta 6? Porque el costo 6 es 2 ^ 6 = 64 rondas.

Hoy en día el costo 10-12 se considera el mínimo. Sin embargo, debe buscar el máximo que su hardware puede manejar.

El proceso de hashing debería tomar aproximadamente un segundo.

    
respondido por el O'Niel 10.10.2016 - 09:31
fuente

Lea otras preguntas en las etiquetas