c/c++ で記述された Web サービスがあります。今日まで、ユーザーのパスワードは単に MD5 でハッシュされ、DB に保存されていました。このアルゴリズムがまったく安全でないことは明らかです。
Web サービスは 1 つのスレッド化されたアプリケーションです。平均して、ユーザーから毎秒約 100 パケット (100p/s) を受信します。それらのいくつかは認証パケットです。
私は bcrypt と salt について読みましたが、実際にはこの手法をまったく使用していません。セキュリティ上の理由から、bcrypt が生成するハッシュが MD5 よりも遅いという事実も明らかです。この方法でパスワードの暗号化と認証パケットのチェックに bcrypt または scrypt を使用すると、サービスが大幅に遅くなるでしょうか?