背景:Bcrypt(4)(= 4反復)とSHA512の違いか、パスワードごとに固有の塩と異なるものはありますか?
私は将来的に多くのユーザーのアクティビティを負担できるように構築したいのですが、オンラインでのPHPアプリケーションであり、私の小さなサイトにログインを追加したいです。
LightOpenIDを実装する前に、通常のログインを追加します。私が学んでいる本はHead First PHP & MySQL(2008)と呼ばれ、この章の最終コードはをmysqlクエリーの一部として使用しています。
私がJeff Atwoodの執筆に興味を持っているので、私はscryptのようにbcryptをよく知っています。しかし、scryptのPHP実装がなく、それを実行する専用サーバーがないので、私は少なくとも今のところbcryptを実装することにしました。
しかし私は完全に素朴ではありません、私は私の非常に謙虚なホストリソースを過度に拡張しないように注意しなければならないことを知っています。リソースに関する他の何よりも先にPHPアプリケーション自体が常に先に来るはずです。
Andrew Moore's methodがいいようです(私は私のホストが使用するPHP 5.2.17でそれを実装する方法を参照してくださいする必要がありますが)、それは、ハードウェアの速度のためのヒントが付属しています:
あなたは数を選択してくださいラウンドのうち、結果として200~250msの結果が となります。 bcryptが安全である理由の一部は、それが遅いということです。 には、その特性を保持するラウンド数を確保する必要があります。 - アンドリュー・ムーア
別のユーザーは、彼がmicrotime()
を実行するために(9)、これに近い最適であろうbcryptのための0.314を与えると述べています。
質問:私は私の処分で非常に謙虚なリソースを持っていると私はPHPのアプリ自体のほとんどを残して、それらを最大限に活用したいのですが、はオフ、私はまだ良いだと見られて
何かの代わりにBcrypt(4)を使用していますか?
bcryptの(4)ほぼ瞬時にtrueを返しますが、それはまだ特性ムーアは語ることを続けるのでしょうか?(つまり、GPUのbruteforcingことが難しくなりますRAMに関する部分でしょうか?)それともSHA512 または何か他のものを希望この時点では実際には高速ですがより安全ですか?
私はBcrypt(4)がこのような状況で勝つことを期待していますが、私は正しいことを知っていますか? :p
5.2は古代です。あなたのホストを怒鳴り、または置き換える。 –
これはそうでなければ、まともなホストですが、驚くほど安いのですが、これは仮想専用サーバーへのアップグレードのほうが、変更ホスト全体よりも問題だと思います。この機能のための何かです。 – Suzy