Go 为什么散列这么慢?
我正在开发一个web应用程序。为了散列密码,我使用了以下逻辑Go 为什么散列这么慢?,go,hash,Go,Hash,我正在开发一个web应用程序。为了散列密码,我使用了以下逻辑 package core import ( "math/rand" "golang.org/x/crypto/bcrypt" ) type User struct { Username string `json:"username"` Password string `json:"password"` } type Hasher interface { HashPassword() }
package core
import (
"math/rand"
"golang.org/x/crypto/bcrypt"
)
type User struct {
Username string `json:"username"`
Password string `json:"password"`
}
type Hasher interface {
HashPassword()
}
func (u *User) HashPassword() {
cost := rand.Intn(28) + 4
//TODO: Handle error
hashedPassword, _ := bcrypt.GenerateFromPassword([]byte(u.Password), cost)
u.Password = string(hashedPassword)
}
然后在处理请求时
func HandleRegister(w http.ResponseWriter, r *http.Request) {
var user core.User
var hasher core.Hasher
hasher = &user
//TODO: Handle error
_ = json.NewDecoder(r.Body).Decode(&user)
hasher.HashPassword()
fmt.Println(user)
}
出于安全原因,我使用随机成本进行散列。问题是,当成本变大时,过程真的很慢。我正在使用Postman
向我的服务器发送请求,但速度非常慢。为什么会这样?我的实现错了吗
注意:在我的SQLite数据库中,我选择密码列的
TEXT
type来存储散列密码。使用BLOB
类型而不是TEXT
是否更好?您的最大成本是32。这意味着2^32轮密钥扩展。即使是一个简单的循环,只要遍历1到2^32之间的每个数字而不做任何操作,也需要几秒钟的时间。你需要将你的成本限制到一个更合理的数字
此外,您的最低成本4是太小了。只有16轮。这将使破解密码的方式比它应该的更容易
你为什么用随机数?为了更好地选择成本。补充kichik所说的(都是真的):密码哈希函数故意变慢,以使暴力攻击的成本在计算上无法承受。有关更多详细信息,请参阅。不要使用随机成本;使用一个成本,使其足够慢,以确保安全。这是下一点。。。慢是他们安全的原因。你不希望它太快。