Scrypt 增加蹩腳密碼熵的最大強度

開發人員聲稱，使用 3.8 秒 scrypt 散列的 6 個字母長密碼將花費 900 美元進行暴力破解。

• 如果我們使用更多的周期，蠻力成本會以多快的速度增加？
• 在台式機或移動設備上計算如此龐大的 KDF 的最低系統要求是什麼？
• 是否有任何公式可以根據 CPU 週期時間估算其熵？
• Scrypt 能否從 Grover 的算法中倖存下來？

請注意，錯誤的密碼可能會很長。

您必須在將要使用的硬體上對其進行測試。我以 262144 的成本嘗試了 CryptSharp 的實現，耗時約 7 秒。它花費更多的原因是它使用的記憶體，而我執行 Scrypt 的程序消耗了 340ish MB。

其中有多少來自 KDF？不知道。

我的盒子如何處理 100 個人同時進行身份驗證？非常好的問題。

這是您需要針對特定硬體進行性能調整的東西。

開發人員聲稱，使用 3.8 秒 scrypt 散列的 6 個字母長密碼將花費 900 美元進行暴力破解。

非常重要：這是2002 年建構 ASIC 在一年內找到密碼的成本。

沒那麼重要：scrypt 背後似乎只有一個人：Colin Percival。

如果我們使用更多的周期，蠻力成本會以多快的速度增加？

ASIC 最昂貴的部分（這是 scrypt 的重點）是記憶體。將周期加倍意味著您在兩倍的時間內使用兩倍的記憶體，即，將周期加倍會使蠻力攻擊的成本大約增加 4 倍。

在台式機或移動設備上計算如此龐大的 KDF 的最低系統要求是什麼？

範例中使用的參數需要 3.8 秒是[Math Processing Error]. scrypt 論文的定理 2說你需要 $ (N,r)=(2^{20},8) $ $ 128Nr $ 字節的記憶體，因此電腦必須具有至少 1 GiB 的 RAM。

請注意，錯誤的密碼可能會很長。

長度無關緊要。暴力破解密碼的成本取決於 $ (N,r) $ 和密碼的熵。

引用自：https://crypto.stackexchange.com/questions/12397