Antecedentes:Bcrypt (4) (= 4 iteraciones) versus SHA512 o algo diferente con sal única por contraseña?
Quiero añadir una entrada a mi pequeño sitio, que es una aplicación PHP en línea, lo que me gustaría construir a ser capaz de soportar tanto la actividad del usuario en el futuro.
Antes de continuar con la implementación de LightOpenID, deseo agregar un inicio de sesión normal. El libro del que estaba aprendiendo se llama Head First PHP & MySQL (2008) y el código final del capítulo usa SHA('$user_password')
como parte de la consulta mysql.
Cuando tomo interés en la escritura de Jeff Atwood, soy muy consciente de brypt como de scrypt. Pero visto que no hay una implementación php de scrypt y no tiene un servidor dedicado para ejecutarlo, decidí al menos investigar la implementación de bcrypt por el momento.
Sin embargo, no soy completamente ingenuo, sé que debo vigilar para no exceder mis recursos de alojamiento muy humildes. La aplicación php en sí siempre debe ser lo primero antes que cualquier otra cosa con respecto a los recursos.
Andrew Moore's method parece agradable (aunque voy a tener que ver cómo ponerlo en práctica en PHP 5.2.17 que utiliza mi anfitrión) y viene con una punta de velocidad del hardware:
Usted debe seleccionar un número de de rondas que resulta en 200-250 ms de trabajo . Parte de la razón por la cual bcrypt es seguro es que es lenta. Usted debe asegurarse de tener un número de rondas que mantiene esa característica. - Andrew Moore
Otro usuario afirma que para él correr microtime()
da 0,314 para Bcrypt (9), que de este modo sería casi óptimo.
La pregunta:
visto ya que sólo tengo recursos muy humilde a mi disposición y me gustaría hacer el mejor de ellos, dejando la mayor parte de la propia aplicación php, ¿Todavía estoy mejor usando Bcrypt (4) en lugar de otra cosa?
Bcrypt (4) devuelve verdadero casi al instante, pero aún así mantener esa característica Moore habla? (¿Sería la RAM parte relativa que hace que sea más difícil para fuerza bruta GPU?) ¿O SHA512 o algo más en realidad ser tan rápido pero más seguro en este punto?
Espero que Bcrypt (4) gane en esta situación, pero demonios, ¿lo sé, verdad? : p
5.2 es antiguo. O grita o reemplaza a tu anfitrión. –
Es un host muy decente; de lo contrario, a la vez que es increíblemente barato, creo que se trata más de una actualización de un servidor virtual dedicado que de un host de cambio. Que es algo para la característica. – Suzy