Bcrypt er lykilorða hashing aðgerð hönnuð til að vera hæg og útreikningsleg dýr, sem gerir hana ónæma fyrir brute-force árásum. Þetta er iðnaðarstaðallinn fyrir örugga geymslu lykilorða.
Hvernig Bcrypt virkar
Bcrypt notar Blowfish dulmálið með salti og kostnaðarstuðli. Kostnaðarstuðullinn (lotur) ákvarðar hversu margar endurtekningar reikniritið framkvæmir - hver aukning tvöfaldar útreikningstíma, sem gerir árásir veldishraða erfiðari.
Hvers vegna nota Bcrypt?
Ólíkt MD5/SHA sem eru hröð (slæmt fyrir lykilorð), er bcrypt viljandi hægt. Þetta gerir brute-force árásir óframkvæmanlegar. Kostnaður 10 þýðir 2^10 (1.024) endurtekningar, sem tekur ~100ms að hasha - hverfandi fyrir innskráningu en eyðileggjandi fyrir árásarmenn sem reyna milljarða lykilorða.
Bestu öryggisvenjur
Notaðu kostnað 10-12 fyrir flest forrit. Kostnaður 10 er núverandi ráðlagt lágmark. Notaðu aldrei MD5 eða SHA-1 fyrir lykilorð - þau eru brotin. Geymdu aldrei lykilorð í einföldum texta. Notaðu alltaf bcrypt, Argon2 eða scrypt fyrir lykilorða hashing.