PHP: password_hash () - ¿Necesito definir el costo?

1

¿Necesito necesariamente definir el 'costo' para password_hash() ?

¿Hay algún valor predeterminado para el costo?

Sé que no se recomienda usar sal personalizada con password_hash() .

¿Cuánto tiempo lleva hash con password_hash() solo Y cuánto tiempo para password_hash() con bcrypt?

    
pregunta jack 08.08.2016 - 23:15
fuente

1 respuesta

3

Según la documentación para password_hash() , el costo predeterminado es 10. En mi máquina, esto toma aproximadamente 60 ms para calcular. Aunque es mejor que una función hash no adaptativa (piense claramente en SHA1 o MD5), preferiría estar más cerca de 500-800 ms (cuesta 13 en mi máquina). La recomendación general que hago es realizar algunas mediciones en los servidores de producción y establecer el costo en lo que creas que puedes manejar razonablemente sin afectar demasiado al UX.

    
respondido por el John Downey 08.08.2016 - 23:31
fuente

Lea otras preguntas en las etiquetas