2

自 2010 年推出以来,我一直在使用开箱即用的 jBCrypt 0.3 版。我使用默认的 getsalt() 方法,将“log_rounds”的数量设置为 10。鉴于密码破解硬件和方法,这个值是否仍然适合作为默认值,或者我应该看一些更高的值。

来自javadoc的信息...

String pw_hash = BCrypt_v03.hashpw(plain_password, BCrypt_v03.gensalt());
String strong_salt = BCrypt_v03.gensalt(10)
String stronger_salt = BCrypt_v03.gensalt(12)

工作量呈指数增长(2**log_rounds),因此每次增量都是工作量的两倍。默认 log_rounds 为 10,有效范围为 4 到 31。

4

1 回答 1

5

我做了一个小测试类来检查 checkPw() 在不同的 salt log_rounds 下的性能。

public void testCheckPerformance() {
    int MULT = 1;
    for( int i = 4; i < 31; i++) {
        String salt = BCrypt_v03.gensalt(i);
        String hashpw = BCrypt_v03.hashpw("my pwd", salt);
        long startTs = System.currentTimeMillis();
        for( int mult = 0; mult < MULT; mult++) {
            assertTrue(BCrypt_v03.checkpw("my pwd", hashpw));
        }
        long endTs = System.currentTimeMillis();
        System.out.println(""+i+": " + ((endTs-startTs)/MULT));
    }
}

我的电脑是 8 核 i7 2.8GHz。结果是:

log-rounds: time in millis.
4: 3
5: 3
6: 6
7: 11
8: 22
9: 46
10: 92
11: 188
12: 349
13: 780
14: 1449
15: 2785
16: 5676
17: 11247
18: 22264
19: 45170

使用默认的 log_rounds=10 意味着单线程可以在 0.1s 内检查一次登录。这可能会限制单个服务器可以实现的每秒登录检查次数。

所以我想问题变成了你准备花多少时间来检查每个密码,以及你想要调整系统大小以应对每秒多少次密码检查。

于 2012-12-21T20:38:37.630 回答