Bcrypt，盐和成本是什么意思？

Question

我总是使用MD5加密密码，但我读了它不应该更多的被使用，而是使用bcrypt

..

我使用zendframework 2，在那里我发现它描述如下bcrypt配置：

$bcrypt = new Bcrypt(array(
    'salt' => 'random value', 
    'cost' => 11 
)); 

什么是盐和什么是成本？以及它们如何被使用？

Answer 1

盐是随机文本添加到要散列的字符串。例如，你不会散列my_secret_password;你哈希像1jfSLKe$*@SL$#)(Sslkfs$34:my_secret_password。其原因是，即使整个哈希密码数据库被盗，它也很难建立一个“彩虹表”来暴力破解密码。如果每个密码都有不同的盐分，那么只能使用最弱的密码（如“密码”或“123456”，您应该禁止）。

成本是运行散列多少次的度量 - 它的速度有多慢。你希望它变慢。同样，如果哈希密码被盗，这是一个冗余的安全层。它使任何暴力都变得过于昂贵。

可以读取一个很好的描述在这里：https://security.stackexchange.com/a/51983/35405