Cost bij bcrypt

Dylan · 6 sep 2014

Welke cost kan de hardware aan?

http://php.net/manual/en/function.password-hash.php

Quote:
If omitted, a default value of 10 will be used. This is a good baseline cost, but you may want to consider increasing it depending on your hardware.

Lennard · 6 sep 2014

Hoe is dit een bug?

Bugged · 6 sep 2014

Lennard (link):
Hoe is dit een bug?

Het is een vraag maar hij is blind

Dylan · 6 sep 2014

ohja vragen natuurlijk

Luukvdo · 6 sep 2014

Quote:
#3: Using Too Weak Of A Cost Parameter
One of the reasons that bcrypt is the preferred password hashing method in PHP is that it is designed to be slow. The cost parameter to the salt indicates how slow the hashing should be (it is designed to be forward-compatible with faster servers). Ideally, for most usages, each hash should take between 0.25 and 0.5 seconds. The interesting thing is that the exact runtime depends largely on the capabilities of the server its running on.

That means that youll need to test your server to find a cost parameter thats as strong as possible without being overly slow. So if youre using the lowest cost available (4), youre not getting nearly as much protection as you should. Instead, a minimum cost of 9 should be used, and larger if your servers can tollerate it (a modern desktop class processor can do a cost factor of 10 in about 0.3 to 0.4 seconds).

http://blog.ircmaxell.com/2012/12/seven-ways-to-screw-up-bcrypt.html
Samengevat, dat moet je zelf maar even testen, het ligt er maar net aan hoe snel of langzaam je het wil hebben

Lennard · 6 sep 2014

Welke cost de hardware aan kan is dan niet relevant en het lijkt me prima om dat soort beveiligingsinformatie niet openbaar te maken, maar die cost lijkt me nog steeds prima, en na een hardware-wijziging wordt die heroverwogen.

Nu staat ie in ieder geval goed ingesteld; als je met Firebug de laadtijd bekijkt zie je ook dat die pagina trager is dan de rest.

Rik · 7 sep 2014

Lennard (link):
Welke cost de hardware aan kan is dan niet relevant en het lijkt me prima om dat soort beveiligingsinformatie niet openbaar te maken, maar die cost lijkt me nog steeds prima, en na een hardware-wijziging wordt die heroverwogen.

Nu staat ie in ieder geval goed ingesteld; als je met Firebug de laadtijd bekijkt zie je ook dat die pagina trager is dan de rest.

Volgens mij bedoelt ie gewoon op de ledenservers.

Robiin · 7 sep 2014

Rik (link):

Lennard (link):
Welke cost de hardware aan kan is dan niet relevant en het lijkt me prima om dat soort beveiligingsinformatie niet openbaar te maken, maar die cost lijkt me nog steeds prima, en na een hardware-wijziging wordt die heroverwogen.

Nu staat ie in ieder geval goed ingesteld; als je met Firebug de laadtijd bekijkt zie je ook dat die pagina trager is dan de rest.

Volgens mij bedoelt ie gewoon op de ledenservers.

Dat denk ik ook, haha.

Lennard · 7 sep 2014

Oh.

Dat moet je gewoon zelf uittesten; je begint bij 1, meet hoelang hij doet over het encrypten, dan doe je 2, enzovoorts, totdat ie er een halve seconde over doet ofzo en dan pak je die.

Dylan · 7 sep 2014

Rik (link):

Lennard (link):
Welke cost de hardware aan kan is dan niet relevant en het lijkt me prima om dat soort beveiligingsinformatie niet openbaar te maken, maar die cost lijkt me nog steeds prima, en na een hardware-wijziging wordt die heroverwogen.

Nu staat ie in ieder geval goed ingesteld; als je met Firebug de laadtijd bekijkt zie je ook dat die pagina trager is dan de rest.

Volgens mij bedoelt ie gewoon op de ledenservers.

Ja

Lennard · 7 sep 2014

Dylanh (link):

Rik (link):

Lennard (link):
Welke cost de hardware aan kan is dan niet relevant en het lijkt me prima om dat soort beveiligingsinformatie niet openbaar te maken, maar die cost lijkt me nog steeds prima, en na een hardware-wijziging wordt die heroverwogen.

Nu staat ie in ieder geval goed ingesteld; als je met Firebug de laadtijd bekijkt zie je ook dat die pagina trager is dan de rest.

Volgens mij bedoelt ie gewoon op de ledenservers.

Ja