Как постоянно поддерживать количество циклов bcrypt, относящихся к оборудованию текущего года?
Я видел рекомендацию, чтобы количество раундов было установлено на($currentYear - 2000)
для учета закона Мура, так что 2013 будет13
раунды и, следовательно,2^13
Всего итераций. Конечно, вы должны принять во внимание ваше собственное оборудование, чтобы убедиться, что это не займет много времени (я видел,1 second
рекомендуется как «безопасный» для проверки паролей / хэшей, и на моем текущем оборудовании этот показатель составляет около 13 раундов).
Это звучит разумно для сайта типа социальной сети? Или я бы настроил себя на очень медленную проверку пароля в будущем, используя($currentYear - 2000)
?
Кроме того, как вы справляетесь с изменением количества раундов с одного года на следующий? Разве изменение количества раундов не изменит хэши, поэтому не позволяет проверять хэши с 2013 по 2014 год, так как проверка будет использовать дополнительный раунд? Нужно ли пересчитывать каждый хэш каждый год, или как он будет работать точно?