Я знаю, что это тема, которую часто задают, Bcrypt
, однако у меня есть несколько опасений по поводу ее безопасности.
Я использовал sha512($password.$salt)
, а затем искал лучшее решение и наткнулся на Bcrypt
.
Что меня беспокоит, так это то, что когда читал об этом, то было указано количество патронов($02$
) и соль хранится в хэше в 3 отдельных «блоках», например,$rounds$.$salt.$hash
(по крайней мере, так я это интерпретировал ).
Мой вопрос: :разве это не небезопасно? Отображение количества использованных патронов и доступной соли. Потому что злоумышленник может просто сказать: «Хорошо, мне нужно 2 раунда, соль — это 123salt, и это хэш», верно?
При чтении я понимаю, что дело не только в безопасности, а в том, сколько времени требуется для взлома пароля, и в этом преимущество Bcrypt, он медленный.
Может ли кто-нибудь прояснить мои неверные толкования / недоразумения, пожалуйста?
Спасибо.