2018年使用哪种bcrypt成本？

Update

Actually it seems the benchmark was incorrectly setup I have followed the resource shared by user @Luke Joshua Park and now it works.

package main

import "testing"

func benchmarkBcrypt(i int, b *testing.B){
    for n:= 0; n < b.N; n++ {
        HashPassword("my pass", i)
        }

}

func BenchmarkBcrypt9(b *testing.B){
    benchmarkBcrypt(9, b)
}

func BenchmarkBcrypt10(b *testing.B){
    benchmarkBcrypt(10, b)
}

func BenchmarkBcrypt11(b *testing.B){
    benchmarkBcrypt(11, b)
}

func BenchmarkBcrypt12(b *testing.B){
    benchmarkBcrypt(12, b)
}

func BenchmarkBcrypt13(b *testing.B){
    benchmarkBcrypt(13, b)
}

func BenchmarkBcrypt14(b *testing.B){
    benchmarkBcrypt(14, b)
}

Output:

BenchmarkBcrypt9-4            30      39543095 ns/op
BenchmarkBcrypt10-4           20      79184657 ns/op
BenchmarkBcrypt11-4           10     158688315 ns/op
BenchmarkBcrypt12-4            5     316070133 ns/op
BenchmarkBcrypt13-4            2     631838101 ns/op
BenchmarkBcrypt14-4            1    1275047344 ns/op
PASS
ok      go-playground   10.670s

Old incorrect benchmark

I have a small set on benchmark test in golang and am curios of to what is a recommended bcrypt cost to use as of May 2018.

This is my benchrmark file:

package main

import "testing"

func BenchmarkBcrypt10(b *testing.B){
    HashPassword("my pass", 10)
}

func BenchmarkBcrypt12(b *testing.B){
    HashPassword("my pass", 12)
}

func BenchmarkBcrypt13(b *testing.B){
    HashPassword("my pass", 13)
}


func BenchmarkBcrypt14(b *testing.B){
    HashPassword("my pass", 14)
}

func BenchmarkBcrypt15(b *testing.B){
    HashPassword("my pass", 15)
}

and this is HashPassword() func inside main.go:

import (
    "golang.org/x/crypto/bcrypt"
)

func HashPassword(password string, cost int) (string, error) {
    bytes, err := bcrypt.GenerateFromPassword([]byte(password), cost)
    return string(bytes), err
}

The current output is:

go test -bench=.
BenchmarkBcrypt10-4     2000000000           0.04 ns/op
BenchmarkBcrypt12-4     2000000000           0.16 ns/op
BenchmarkBcrypt13-4     2000000000           0.32 ns/op
BenchmarkBcrypt14-4            1    1281338532 ns/op
BenchmarkBcrypt15-4            1    2558998327 ns/op
PASS

It seems that for a bcrypt with cost of 13 the time it takes is 0.32 nanoseconds, and for cost 14 the time is 1281338532ns or ~1.2 seconds Which I believe is too much. What do is the best bcrypt cost to use for the current year 2018.

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
drwiupraq047311240 2018-05-22 14:18
关注
I'm not certain what's going on with Benchmark here. If you just time these, it works fine, and you can work out the right answer for you.

package main import ( "golang.org/x/crypto/bcrypt" "time" ) func main() { cost := 10 start := time.Now() bcrypt.GenerateFromPassword([]byte("password"), cost) end := time.Now() print(end.Sub(start) / time.Millisecond) }

For a work factor of 10, on my MacBook Pro I get 78ms. A work factor of 11 is 154ms, and 12 is 334ms. So we're seeing roughly doubling, as expected.

The goal is not a work factor; it's a time. You want as long as you can live with. In my experience (mostly working on client apps), 80-100ms is a nice target because compared to a network request it's undetectable to the user, while being massive in terms of brute-force attacks (so the default of 10 is ideal for my common use).

I generally avoid running password stretching on servers if I can help it, but this scale can be a reasonable trade-off between server impact and security. Remember that attackers may use something dramatically faster than a MacBook Pro, and may use multiple machines in parallel; I pick 80-100ms because of user experience trade-offs. (I perform password stretching on the client when I can get away with it, and then apply a cheap hash like SHA-256 on the server.)

But if you don't do this very often, or can spend more time on it, then longer is of course better, and on my MacBook Pro a work factor of 14 is about 1.2s, which I would certainly accept for some purposes.

But there's a reason that 10 is still the default. It's not an unreasonable value.
本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

2018年使用哪种bcrypt成本？
2018-05-22 12:57

回答 1 已采纳 I'm not certain what's going on with Benchmark here. If you just time these, it works fine, and yo
真的不需要为bcrypt生成盐吗？
2016-04-07 20:29

回答 1 已采纳 The bcrypt package generates the salt for the application. The return value from GenerateFromPass
在Bcrypt之前使用512-hash？ php
2012-06-30 17:14

回答 4 已采纳 Actually the answer has to be no, it doesn't make the hash significant stronger in a cryptographic
加密算法应用之密码保护
2019-05-10 14:44

bjspo的博客据scrypt网站称，“针对scrypt的硬件暴力攻击的成本大约是类似bcrypt攻击的成本的4000倍”。 scrypt没有在生产环境中大规模应用，并且缺乏仔细的审察和广泛的函数库支持。但是，scrypt在算法层面只要没有破绽，它的...
为什么bcrypt库的CompareHashAndPassword方法很慢？
2018-03-22 19:55

回答 1 已采纳 Slowness is a design feature of bcrypt, because if it was fast, it would be easy to brute-force pa
使用Bcrypt的Symfony 3自定义用户提供程序 php symfony
2016-11-17 22:52

回答 1 已采纳 As stated in Creating your First User: Do you need to use a Salt property? If you use bcr
在 PHP 中如何使用 bcrypt 实现散列密码？ php
2011-01-25 15:34

回答 9 已采纳 bcrypt is a hashing algorithm which is scalable with hardware (via a configurable number of rounds
哪个才是你的菜？Django和Laravel两大Web开发框架对比
2023-12-26 14:30

WPHunter的博客 Python是一种开发人员友好且易于使用的语言，即使对于初学者也是如此。虽然它在路由过程中使用正则表达式（RegEx），这对初学者来说并不友好，但您可以通过一些努力来学习它。Python是为可读性而设计的，具有清晰的...
在 PHP 中如何使用 bcrypt 来破解密码？ php
2011-01-25 15:34

回答 9 已采纳 bcrypt is a hashing algorithm which is scalable with hardware (via a configurable number of rounds
如何使用bcrypt与php进行密码验证？ php
2012-07-04 09:38

回答 1 已采纳 You must store the password AND the salt used when you BCrypt, or you'll never get the same string
数据库里账号的密码，怎样存放更加安全？
2020-04-28 14:04

公众号：Java后端的博客 timeCost : 3, // 时间成本是哈希函数使用的通过次数（迭代次数） memoryCost: 2 ** 16, // 默认 4096（单位 KB，即 4MB） parallelism :1, //用于计算哈希值的线程数量。每个线程都有一个具有memoryCost大小的内存...
探讨一下，数据库里账号的密码，怎样存放更加安全？
2020-05-12 09:00

weixin_37097680的博客 timeCost : 3, // 时间成本是哈希函数使用的通过次数（迭代次数） memoryCost: 2 ** 16, // 默认 4096（单位 KB，即 4MB） parallelism :1, //用于计算哈希值的线程数量。每个线程都有一个具有...
WebApp 安全入门
2019-06-25 23:30

蔚1的博客 2018 网络安全事故频发，从数据泄露、信息窃取，到 DDOS 攻击、勒索病毒，不仅威胁的总数在增加，威胁态势也变得更加多样化，攻击者在不断开发新的攻击途径的同时，也尽力在攻击过程中掩盖其踪迹，使网络安全防护变...
Spring Security 5.0.x 参考手册【翻译自官方GIT-2018.06.12】
2018-06-12 17:26

hchhan89的博客源码请移步至：https://github.com/aquariuspj/spring-security/tree/translator/docs/manual/src/docs/asciidoc版本号：5.0.x 参考手册【翻译自官方GIT - 2018.06.12】Spring Security参考手册Spring Security是一...
Spring Cloud Alibaba面试题
2024-04-04 12:36

golove666的博客资源管理器 (RM) 三种模式处理分布式事务：使用 Seata 的主要步骤： 5.2 讲述 Seata 的工作原理和组成部分 Seata 的工作原理分布式事务处理流程三组件模型一致性保证总结 5.3 解释 AT、TCC、Saga、XA四种事务...
Python 高性能Web开发框架FastAPI精通指南
2024-03-20 18:30

需要休息的KK.的博客 FastAPI：作为后来居上的新兴框架，FastAPI于2018年崭露头角，它专注于提供高性能和快速开发的API服务。通过利用现代Python特性，如异步处理和类型提示，FastAPI实现了这一目标，成为了现代Web开发中的一股强劲力量...
数据库里账号的密码，这样存放最安全！
2020-05-26 14:56

zl1zl2zl3的博客 timeCost : 3, // 时间成本是哈希函数使用的通过次数（迭代次数） memoryCost: 2 ** 16, // 默认 4096（单位 KB，即 4MB） parallelism :1, //用于计算哈希值的线程数量。每个线程都有一个具有...
Activiti 工作流引擎详解
2022-08-01 11:58

begefefsef的博客通过ProcessEngineConfiguration可以创建工作流引擎ProceccEngine，常用的两种方法如下： 3.2.1、StandaloneProcessEngineConfiguration 使用StandaloneProcessEngineConfigurationActiviti可以单独运行，来创建...
微服务架构
2022-02-11 11:11

残雪飞扬的博客由于Spring Cloud Netflix 2018年12月12日进入维护模式（Maintenance Mode），所以不太适合长期再使用。故选择Spring Cloud alibaba的技术方案。 2019年7月24日Spring官方社区官方博文中宣布了Spring Cloud Alibaba...
系统架构整理
2023-02-13 17:30

CarryBest的博客通过使用JDK自带的集合类，可以降低代码维护和学习新API成本。 3：常用的集合类有哪些？ Map接口和Collection接口是所有集合框架的父接口： 1：Collection接口的子接口包括：Set接口和List接口 2：Map接口的实现类...
没有解决我的问题, 去提问

悬赏问题

¥15 nginx的使用与作用
¥100 关于#VijeoCitect#的问题，如何解决？(标签-ar|关键词-数据类型)
¥30 数字信号处理实验报告
¥15 一个矿井排水监控系统的plc梯形图，求各程序段都是什么意思
¥15 ensp路由器启动不了一直报#
¥50 安卓10如何在没有root权限的情况下设置开机自动启动指定app?
¥15 ats2837 spi2从机的代码
¥200 wsl2 vllm qwen1.5部署问题
¥100 有偿求数字经济对经贸的影响机制的一个数学模型，弄不出来已经快要碎掉了
¥15 数学建模数学建模需要

2018年使用哪种bcrypt成本？

Update

Old incorrect benchmark

1条回答 默认 最新

悬赏问题

1条回答默认最新