1. घर
  2. सवाल और जवाब
  3. क्या बड़ी वेबसाइटों के लिए bcrypt व्यवहार्य है?

क्या बड़ी वेबसाइटों के लिए bcrypt व्यवहार्य है?

2012-03-14 26 views
12

मैं थोड़ी देर के लिए bcrypt बैंडवैगन पर रहा हूं, लेकिन मुझे एक साधारण नकली सवाल का जवाब देने में परेशानी हो रही है।क्या बड़ी वेबसाइटों के लिए bcrypt व्यवहार्य है?

कल्पना कीजिए कि मेरे पास अमेरिका में एक उचित रूप से सफल वेब साइट है .. लगभग 100,000 सक्रिय उपयोगकर्ता जिनमें प्रत्येक के पास गतिविधि के पैटर्न होते हैं जो एक सामान्य अमेरिकी व्यापार दिवस के दौरान औसतन 2 से 3 प्रमाणीकरण प्रयासों की आवश्यकता होती है (12 घंटे जब आप टाइमज़ोन शामिल करते हैं)। यह प्रति दिन 250,000 प्रमाणीकरण अनुरोध है, या प्रति सेकंड लगभग 5.8 प्रमाणीकरण।

बीक्रिप्ट के बारे में साफ-सुथरे चीजों में से एक यह है कि आप इसे ट्यून करते हैं, ताकि समय के साथ यह क्रैकर्स से आगे रहने के लिए हार्डवेयर के रूप में स्केल करता है। एक आम ट्यूनिंग यह प्रति सेकेंड हैश सृजन के केवल 1/10 से अधिक लेने के लिए है ... मान लें कि मैं इसे प्रति है .173 सेकेंड तक प्राप्त करता हूं। मैंने उस नंबर को चुना क्योंकि यह ऐसा होता है कि प्रति सेकंड .173 सेकेंड प्रति सेकंड लगभग 5.8 हैश करता है। दूसरे शब्दों में, मेरा काल्पनिक वेब सर्वर सचमुच उपयोगकर्ताओं को प्रमाणीकृत करने के अलावा कुछ भी नहीं कर रहा है। वास्तव में कोई उपयोगी काम नहीं करते हैं।

इस समस्या को हल करने के लिए, मुझे या तो bcrypt रास्ता नीचे (एक अच्छा विचार नहीं) ट्यून करना होगा या प्रमाणीकरण करने के लिए समर्पित सर्वर प्राप्त करना होगा, और कुछ भी नहीं। अब कल्पना करें कि साइट बढ़ती है और 100,000 उपयोगकर्ताओं को जोड़ती है। अचानक मुझे दो सर्वरों की आवश्यकता है: फिर, प्रमाणीकरण के अलावा कुछ भी नहीं कर रहा है। लोड स्पाइक्स के बारे में भी सोचना शुरू न करें, क्योंकि आपके पास पूरे दिन हल्की और व्यस्त अवधि होती है।

जैसा कि मैंने अभी इसे देखा है, यह उन समस्याओं में से एक है जो अच्छा होगा, और bcrypt अभी भी परेशानी के लायक होगा। लेकिन मैं जानना चाहता हूं कि क्या मैं यहां कुछ स्पष्ट याद कर रहा हूं? कुछ सूक्ष्म? या क्या वहां कोई भी वास्तव में अपनी साइट के प्रमाणीकरण हिस्से के लिए एक संपूर्ण सर्वर फार्म चलाने वाली एक प्रसिद्ध वेबसाइट पर इंगित कर सकता है?

स्रोत

2012-03-14 Joel Coehoorn

+1

यदि आपके पास पैसा है तो यह व्यवहार्य है। बैंडविड्थ और प्रोसेसिंग पावर में कुछ प्रतिशत की वृद्धि के कारण कुछ साइट पूर्ण-एचटीटीपीएस व्यवहार्य नहीं मानती हैं। लेकिन अन्य बड़ी साइटों में एचटीटीपीएस केवल नीति लागू करने में कोई समस्या नहीं है। यह सिर्फ आपके बजट और प्राथमिकताओं पर निर्भर करता है। –

+0

यह ऑथ को समर्पित सर्वर नहीं है: यह एक कोर है। –

+0

@ पीटर - यह सिर्फ एक कोर से अधिक है। अन्यथा ब्लैक टोपी ला ला ग्राफिक्स कार्ड की समस्या पर अधिक समांतर हार्डवेयर फेंक सकता है। –

उत्तर

5

भले ही आप केवल लेने के लिए bcrypt को ट्यून करें, कहें, एक सेकंड के 1/1000, अभी भी सरल हैशिंग — की तुलना में थोड़ा धीमा है, एक त्वरित और गंदे पर्ल बेंचमार्क का कहना है कि मेरा नया कंप्यूटर 300,000 की गणना नहीं कर सकता प्रति सेकंड SHA-256 हैश।

हां, 1000 और 300,000 के बीच का अंतर केवल 8 बिट्स है, लेकिन यह अभी भी सुरक्षा मार्जिन के 8 बिट्स हैं जो आपके पास अन्यथा नहीं होंगे, और यह अंतर केवल बढ़ने जा रहा है क्योंकि सीपीयू तेजी से बढ़ते हैं।

इसके अलावा, यदि आप bcrypt के बजाय scrypt का उपयोग करते हैं, तो यह पुनरावृत्ति गणना कम होने पर भी इसकी स्मृति-कठोरता संपत्ति को बनाए रखेगी, जो अभी भी समानता को समानांतर बनाने के लिए मजबूर कर देगा।

स्रोत

2012-03-14 05:29:59

+0

हां, यहां तक ​​कि एक 1/10000 दूसरा भी बेहतर होगा, लक्ष्य प्रति सेकंड लाखों मूल्यों की गणना को रोकने के लिए है। और निश्चित रूप से आप थोड़े समय से शुरू कर सकते हैं और बाद में इस मूल्य को समायोजित कर सकते हैं, जब आप प्रभाव का अनुमान लगाने में सक्षम होते हैं। – martinstoeckli

 संबंधित मुद्दे

  • कोई संबंधित समस्या नहीं^_^