Медленная проверка истории паролей с использованием BCrypt

Question

Мы используем bcrypt для хеширования паролей пользователей, и мы сохраняем список последних 10 хэшей, чтобы убедиться, что они не используют тот же пароль, что и последние 10, когда они создают новый.

Одна проблема, с которой мы сталкиваемся, заключается в том, что проверка истории паролей является очень медленным процессом. Алгоритм выходит что-то вроде этого:

// The user's entered password on the password change page 
String rawPassword = ... 

// For demonstration purposes, the password has passed all other validation measures 
Boolean passwordIsValid = true; 

// Loop through all the stored passwords we have for that user. We have a max of 10 
for (String oldHashed: user.passwordHashHistory) { 

    // Must re-hash every time using the same salt as the one stored in history 
    // NOTE: SLLOOOWWWWW! 
    String newHashed = Bcrypt.hashPw(rawPassword, oldHashed); 

    // Now we can see if it's a match 
    if (newHashed.compareTo(oldHashed) == 0) { 
     // User is using one of the old passwords 
     passwordIsValid = false; 
    } 
} 

выше код работает, но это может занять 5-6 секунд на моей рабочей станции для одного пользователя, чтобы проверить его пароль изменен. Могу ли я сделать что-нибудь, чтобы уменьшить это, сократив количество журналов или увеличив количество серверов?

Answer 1

Алгоритм BCrypt был разработан точно для того, чтобы быть медленным, и с учетом фактора затрат вы можете определить, сколько времени требуется для вычисления хэша паролей. Эта «медлительность» - единственный способ помешать атакам грубой силы.

Если бы был способ ускорить этот процесс, злоумышленник наверняка воспользовался бы им. Так что нет никакого способа сделать короткие сокращения здесь.