为什么哈希这么慢？

我正在开发一个 Web 应用程序。为了对密码进行哈希处理，我使用了以下逻辑

package core

import (

"math/rand"

"golang.org/x/crypto/bcrypt"

)

type User struct {

Username string `json:"username"`

Password string `json:"password"`

}

type Hasher interface {

HashPassword()

}

func (u *User) HashPassword() {

cost := rand.Intn(28) + 4

//TODO: Handle error

hashedPassword, _ := bcrypt.GenerateFromPassword([]byte(u.Password), cost)

u.Password = string(hashedPassword)

}

然后在处理请求时

func HandleRegister(w http.ResponseWriter, r *http.Request) {

var user core.User

var hasher core.Hasher

hasher = &user

//TODO: Handle error

_ = json.NewDecoder(r.Body).Decode(&user)

hasher.HashPassword()

fmt.Println(user)

}

出于安全原因，我使用随机成本进行散列。问题是当成本变大时，过程真的很慢。我Postman用来向我的服务器发送请求，但它真的很慢。为什么呢？我的实施错了吗？

注意：在我的 SQLite 数据库中，我选择TEXT密码列的类型来存储散列密码。使用BLOBtype 而不是会更好TEXT吗？

繁花如伊

浏览 311回答 1

1回答

蝴蝶不菲

您的最大成本是 32。这意味着 2^32 轮密钥扩展。即使是一个简单的循环，只遍历 1 到 2^32 之间的每个数字而不做任何事情，也需要几秒钟。您需要将成本限制在一个更合理的数字。此外，您的最低成本 4 太小了。那只是16轮。它会使破解密码的方式比它应该的更容易。为什么你甚至使用随机数？阅读本文以更好地选择成本。

随时随地看视频慕课网APP