不幸的是，种类繁多的硬件会阻止您构建您想要的表，除非您首先调查所有现有的硬件架构以及该架构的最佳 bcrypt/scrypt/PBKDF2实现。甚至 scrypt 文章中的表格也不是您想要的：它没有告诉您攻击者会花费多少；它告诉攻击者使用 scrypt 设计者在写这篇文章时想到的硬件和软件要花多少钱。

顺便说一句，这样的估计并不能很好地扩大规模。如果我是一名攻击者，在可用硬件的情况下面临估计为 100 亿美元的攻击成本，我会首先投资 10 亿美元来构建一个基于 ASIC 的定制系统，该系统会更快地完成这项工作。PC擅长进行伪随机 RAM 访问，但不是最好的硬件，因为 PC 中有很多其他组件，它们对攻击毫无用处。

至少，对于 PBKDF2，由于计算映射到没有内存访问问题的底层哈希函数，您可以使用现有的哈希函数基准来获得一个想法（例如这些）。

话虽如此，一切都没有丢失。你不会得到准确的攻击成本估计，但这并不意味着你所能做的就是哀号、萎缩和死亡。第一种实用的方法是将迭代计数设置得尽可能高：将其设置为不会使正常登录过程慢得不能忍受的最大值。这样，您将不知道您的安全性是否良好，但它会尽可能好。这是一个安慰。

其余的工作将在用户方面。毕竟，密码散列的难度因素是为了抵消摩尔定律。然而，充其量，这是密码熵和攻击者耐心之间的匹配：

• 攻击者的优势是他比较有钱，可以购买专用硬件，并且有耐心：他可以花一小时，也许一天来破解一个高价值的密码；而用户在登录时不会容忍等待超过一秒钟。
• 防守方的优势是密码熵。

考虑到攻击者的效率因子为 1000（专用硬件，投入更多的钱）和耐心因子 86400（攻击者希望在一天内成功，用户不会等待超过一秒），然后是密码如果防守方要赢得比赛，熵必须超过 8600 万（也就是多于 26 位）。要提高密码熵，只有一种方法：教育、教育、再教育。不要试图强制执行“密码规则”，它们会激怒用户而不是制作强密码。相反，提供一个非强制性的密码生成器按钮，该按钮生成具有 40 位熵的密码，并向用户解释使用该按钮将是一个非常好的主意。

使用您的目标硬件，我会选择一个导致算法花费大约 1/10 秒的成本。在登录尝试失败后实施延迟。暴力破解任何未精心选择的密码（例如，用户名、站点名称、“密码”）是不划算的。您选择的实际值将取决于您的目标硬件。

1. 如果密码很弱，算法速度无关紧要。
2. 如果密码在字典里，你几乎立刻就被搞砸了
3. 如果密码是由 JtR 或 Hashcat 中包含的规则生成的，那么您稍后会被搞砸；）

除此之外，您存储了多少用户/密码？如果您只保护一个帐户（想想一个只有 root 帐户的服务器），那么加盐是没有意义的。

您多久被迫更改一次密码？如果密码的难度会迫使攻击者进入一个完整的字符集、长密码暴力破解，那么你可以做出一个不错的近似：NumberOfCombos/CrackSpeed=TimeToCrack

因此，如果您有一个 6 字符长、完全随机的可打印 ASCII（95 个符号），您可以每秒破解 100 个字符，那么您有 95^6/100=233 年的时间来破解整个密钥空间。

但是，如果您使用一些快速的算法（我的 GPU 以 80 亿/秒的速度破解单个、单轮、未加盐的 MD5），并向其投入一些体面的硬件，那么您可以在大约 90 分钟内破解整个 6 字符键空间秒。在同一个字符集上转到长度 7 会将破解时间延长到 > 2 小时，长度 8 将其延长到 9 天。因此，如果您每 90 天更改一次密码，那么攻击者就有足够的时间来破解并使用长度为 8、字符集为 95 的密码。

规则很简单，你制作的字符集越大，密码越长，keyspace 将以荒谬的速度增长。现代硬件和软件使破解速度非常快，但您可以使用盐/算法减轻威胁。真正的杀手是当你没有强迫攻击者进入暴力场景时。字典/规则/排列/多词组合攻击在查找非随机密码方面非常有效。