Оптимальный фактор осуществляется работа

помните, что значение хранится в пароль: a$(2 chars work)$(22 chars salt)(31 chars hash). Это не фиксированное значение.

Если вы обнаружите, что нагрузка слишком высока, просто сделайте так, чтобы в следующий раз, когда они войдут в систему, вы крипту что-то быстрее вычислить. Точно так же, как время идет, и вы получаете лучшие серверы, если загрузка не является проблемой, вы можете обновить силу своего хэша при входе в систему.

трюк состоит в том, чтобы держать его примерно столько же времени навсегда в будущем вместе с Муром Закон. число log2, поэтому каждый раз, когда компьютеры удваиваются в скорости, добавьте 1 к номеру по умолчанию.

решите, сколько времени вы хотите, чтобы это заняло для грубой силы пароля пользователя. Для некоторых общих словарных слов, например, создание учетной записи, вероятно,уже предупредило их, что их пароль был слабым. Если это одно из 1000 общих слов, скажем, и злоумышленнику требуется 0,1 С, чтобы проверить каждое, что покупает их 100s (ну, некоторые слова более распространены...). Если пользователь выбрал общий словарь слово ' + 2 числа, это больше двух часов. Если ваша база паролей скомпрометирована, и злоумышленник может получить только несколько сотен паролей в день, вы купили большинство ваших пользователей часов или дней, чтобы безопасно изменить свои пароли. Дело в том, чтобы выиграть им время.

http://www.postgresql.org/docs/8.3/static/pgcrypto.html имеет несколько раз для взлома паролей для вас, чтобы рассмотреть. Конечно, пароли они перечисляют есть случайные буквы. Словарные слова... Практически говоря, вы не можете спасти парня, чей пароль 12345.