我们正在使用bcrypt来哈希用户'密码,我们存储最后10个哈希的列表,以确保他们在创建新密码时不会使用与最后10个密码相同的密码。
我们遇到的一个问题是检查密码历史记录是一个非常缓慢的过程。算法是这样的:
// The user's entered password on the password change page
String rawPassword = ...
// For demonstration purposes, the password has passed all other validation measures
Boolean passwordIsValid = true;
// Loop through all the stored passwords we have for that user. We have a max of 10
for (String oldHashed: user.passwordHashHistory) {
// Must re-hash every time using the same salt as the one stored in history
// NOTE: SLLOOOWWWWW!
String newHashed = Bcrypt.hashPw(rawPassword, oldHashed);
// Now we can see if it's a match
if (newHashed.compareTo(oldHashed) == 0) {
// User is using one of the old passwords
passwordIsValid = false;
}
}
以上代码有效,但我的工作站可能需要5-6秒才能让一个用户验证其密码是否已更改。我可以做些什么来缓解减少日志轮次或加强服务器的这个缺点吗?
答案 0 :(得分:1)
BCrypt算法设计得很慢,成本因素可以确定计算密码哈希所需的时间。这"缓慢"是阻止蛮力攻击的唯一方法。
如果有办法加快这个过程,攻击者肯定会利用它。所以没有办法在这里做空。