コストを少なくとも 16 (2 16 ) に設定する必要があるという記事を読んだことがありますが、8 程度で問題ないと言う記事もあります。
コストをどれくらい高く設定すべきかについて、公式の基準はありますか?
4864 次
3 に答える
10
反復回数は、使用するハードウェアとユーザーの忍耐力に応じて「許容できる」最大値に設定する必要があります。高いほどよい。
反復回数の要点は、パスワード処理を遅くすることです。つまり、潜在的なパスワードを「試す」攻撃者にとって処理を遅くすることです。遅いほど良い。残念ながら、反復回数を上げると、あなたにとっても遅くなります...
経験則として、攻撃者は平均で約 1,000 万 (10 7 ) の潜在的なパスワードを試すことによってパスワードを破ると考えてください。パスワードのハッシュに 1 秒かかるように反復回数を設定し、攻撃者があなたの 10 倍の計算能力を必要とする場合、10 7 *1/10 秒、つまり約 12 日かかります。PC でパスワードのハッシュに 0.01 秒しかかからないように反復回数を設定した場合、攻撃者は 3 時間で完了します。
于 2011-10-02T14:09:57.643 に答える
10
使用するコストは、ハードウェア (および実装) の速度によって異なります。
一般的に言えば、8 または 10 のコストで問題ありません。顕著な遅延はありません。それでも非常に高いレベルの保護であり、SHA とソルトを使用した独自のソリューションよりもはるかに優れています。ハードウェアをアップグレードしたら、コストを 16 に増やすことができます。現時点で 16 は少し高く、おそらく顕著な (そして煩わしい) 遅延が発生するでしょう。しかし、16がうまくいくなら、ぜひそれを選んでください!
于 2011-10-01T21:37:49.160 に答える
3
コストはハードウェアによって異なります。
100 .. 500 msコスト設定をテストし、間隔を狙う必要があります。もちろん、機密性の高い情報を扱っている場合は、1000 msそれ以上の時間がかかる可能性があります。
于 2012-10-09T21:04:44.723 に答える