password-encryption - jBCrypt 的默认 log_rounds 是否仍然适用于 2013 年-6ren

password-encryption - jBCrypt 的默认 log_rounds 是否仍然适用于 2013 年

转载作者：行者123 更新时间：2023-12-02 05:20:37

27

4

自 2010 年推出以来，我一直在使用开箱即用的 jBCrypt 版本 0.3。我使用默认的 getsalt() 方法，它将“log_rounds”的数量设置为 10。鉴于密码的进展破解硬件和方法，这个值作为默认值是否仍然合适，或者我应该寻找一些更高的值。

来自 javadoc 的信息...

String pw_hash = BCrypt_v03.hashpw(plain_password, BCrypt_v03.gensalt());
String strong_salt = BCrypt_v03.gensalt(10)
String stronger_salt = BCrypt_v03.gensalt(12)

The amount of work increases exponentially (2**log_rounds), so each increment is twice as much work. The default log_rounds is 10, and the valid range is 4 to 31.

最佳答案

我做了一个小测试类来检查 checkPw() 在不同 salt log_rounds 下的性能。

public void testCheckPerformance() {
    int MULT = 1;
    for( int i = 4; i < 31; i++) {
        String salt = BCrypt_v03.gensalt(i);
        String hashpw = BCrypt_v03.hashpw("my pwd", salt);
        long startTs = System.currentTimeMillis();
        for( int mult = 0; mult < MULT; mult++) {
            assertTrue(BCrypt_v03.checkpw("my pwd", hashpw));
        }
        long endTs = System.currentTimeMillis();
        System.out.println(""+i+": " + ((endTs-startTs)/MULT));
    }
}

我的电脑是 8 核 i7 2.8GHz。结果是:

log-rounds: time in millis.
4: 3
5: 3
6: 6
7: 11
8: 22
9: 46
10: 92
11: 188
12: 349
13: 780
14: 1449
15: 2785
16: 5676
17: 11247
18: 22264
19: 45170

使用默认的 log_rounds=10 意味着单个线程可以在 0.1 秒内检查一次登录。这可能会限制单个服务器每秒可以实现的登录检查次数。

所以我想问题变成了您准备为每次密码检查花费多少时间与您希望调整系统大小以应对每秒多少次密码检查。

关于password-encryption - jBCrypt 的默认 log_rounds 是否仍然适用于 2013 年，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/13897169/

27

4

0

文章推荐： r - 计算差异并在单独的列中求和

文章推荐： c# - 非虚方法解析——为什么会这样

文章推荐： c# - 奥达克 ORA-00911 : invalid character

php - laravel 5.1 Password::reset 返回 passwords.password
我在 Controller 中有此功能，但我无法重置密码，因为我想将字符长度更改为 5 位数字。 public function postReset(Request $request) { $th
maven - mvn --encrypt-master-password : Good practice for choosing ? 它应该是哪个级别的隐私？
我正在学习使用 maven password encryption能力，我想知道如何选择参数 .有两件事我不明白: 1) mvn --encrypt-master-password foobar总会给
mysql - 错误 "The passwords provided for the Sugar database user do not match. Please re-enter the same passwords in the password fields"
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。关闭 9 年前。这个问题似乎不是关于 a specific programming problem,
passwords - 通常有多少用户使用 "forgotten password"流？
我想知道其他电子商务/行业网站上“忘记密码”流程的“标准”使用率是多少？目前，没有多少人会访问我网站上的“忘记密码”链接，但这主要是因为大多数人没有密码。我正在安装新的登录名(这将鼓励人们创建密码)，
passwords - 源树 : stop remember password
从存储库中提取源代码需要我的密码。 SourceTree 默认记住此密码。我不希望 SourceTree 记住我的密码。我每次都必须禁用此功能! 如何禁用此默认行为？谢谢! 最佳答案我在 Mac 上
php - SET Password=$password 后出现语法错误
这个问题已经有答案了: When to use single quotes, double quotes, and backticks in MySQL (13 个回答) 已关闭 5 年前。 Erro
ios - 谷歌登录后使用电子邮件登录Firebase出现错误: The password is invalid or the user does not have a password
我正在为我的 iOS 应用程序使用 Firebase 身份验证服务。我想通过电子邮件或谷歌登录提供商登录应用程序。我申请了firebase instractions . 我可以使用电子邮件和密码登录。
postgresql - Postgres : MD5 Password/Plain password
我正在尝试了解角色密码在 Postgres 中的运作方式。 https://www.postgresql.org/docs/current/static/sql-createrole.html表示加密
javascript - 为什么 'confirm password and password' 同一部分不工作？
为什么“确认密码和密码相同”部分不起作用？意思是，使用“getElementById”来处理密码和确认密码的部分。每个部分都有效，但特定部分除外。它不会在文本字段周围显示红色框。谁能帮我吗？
passwords - 如何在flutter中添加密码输入类型使密码用户输入不可见，就像Android Native EditText的inputtype :password?
我遇到了 Flutter 的 TextInputType 没有密码类型的问题: /// All possible enum values. static const List values = con
azure - 无法识别的参数 : --available-to-other-tenants --password Password@1212
我正在尝试使用 Azure 应用服务创建应用程序。但是，它显示上述错误:无法识别的参数: 我使用的命令是 --> az ad app create --available-to-other-tena
azure - 无法识别的参数 : --available-to-other-tenants --password Password@1212
我正在尝试使用 Azure 应用服务创建应用程序。但是，它显示上述错误:无法识别的参数: 我使用的命令是 --> az ad app create --available-to-other-tena
python正则表达式提取用户名:password or email:password in mixed delimited csv
我有(数千个)包含各种(数十亿)行的 csv 文件，例如: 组合.csv example0@domain.tld:passw0rd ex.a.m-pl_e1@domain.tld;p@££w0r46&
java - Spring 3 基于注解的验证 : password and confirm password
在我的 Spring 3 MVC 应用程序中，用户需要保存密码，如果他们也能够在保存时确认密码，那将是一个不错的功能。在 bean 中，我使用基于注释的验证。是否有注释 validator 可用于执
database - PostgreSQL : createdb prompt for password for user with no password
我在 pgsql 中创建了一个没有密码的新用户。但是当我尝试为这个用户创建一个数据库时，它提示输入密码 >createuser -d -S -R -U postgres test1 Password:
dart - 自动验证问题 : Password and Confirm Password validation with autovalidation in Flutter
我创建了 Form 这种形式的小部件有多个 TextFormFeild 我创建了自定义 BoxFeild .我面临与相关的问题auto-validation 来自表单小部件。无法验证确认密码中的密码
sql-server - SSRS更新数据源总是报告 "The password is not valid. Please retype the password."
在 SQL Server 2008 R2 标准版上，每当我尝试通过报表管理器更新数据源凭据时，我都无法保存更改，因为它会报告消息 "The password is not valid. Please
java - Wildfly - 失败登录异常 : Password Incorrect/Password Required Exception
我有一个用 JAVA 编写并部署在 Wildfly 8.2 上的小型 REST 应用程序。当我尝试使用 javax 安全库登录时，出现错误 FailedLoginException: Password
node.js - 验证错误: child "password" fails because ["password" is required]
验证错误:子“密码”失败，因为运行测试时显示[“密码”是必需的]错误我使用 hapijs v17.2.3 和 mongodb 作为后端。我正在尝试使用 lab 和 code 执行单元测试。这是我的t
html - 自动完成 = "new password"不工作， "use password for"下拉列表仍然显示
我使用 visual studio 2010 创建了一个登录表单，其中包含用户名的输入文本和 userpass 的密码类型输入。我有最新的 chrome 版本 59.0.3071.115(官方构建)(

首页

博学

6Ren·AI

商城

password-encryption - jBCrypt 的默认 log_rounds 是否仍然适用于 2013 年