Por lo que leí, scrypt es (en papel) más seguro que bcrypt, pero es bastante nuevo, por lo que es mejor dejar que lo analicen y lo analicen primero. Sin embargo, ¿existe alguna razón convincente para suponer que no resistirá el escrutinio?
Todavía no. Si hubiera algún motivo bueno, convincente, los criptógrafos ya estarían advirtiendo a las personas que no lo usen. Internamente utiliza SHA-1, que ha mostrado debilidades por colisiones, pero en el almacenamiento de contraseñas, la preocupación es más ataques de preimagen que debilidades, y no hay indicaciones de que SHA-1 caiga ante ataques de preimagen en el futuro inmediato. Scrypt es increíblemente simple en su estructura, dudo que se encuentre alguna debilidad en ella que no sea realmente una debilidad en SHA-1.