اگر شما هش پارس چندگانه را با همان نمک ذخیره می کنید، هدف از استفاده از نمک را شکست می دهید. نمک باید برای هر یک از رمز عبور منحصر به فرد باشد، در غیر این صورت حمله کننده میتواند فقط یک بار برای هر نامزد رمز عبور H (password || salt) را محاسبه کند و هضم حاصل را در مقایسه با هر هش در پایگاه داده خود، زیرا همه آنها از همان نمک استفاده می کنند. .
همچنین، همانطور که در نظرات اشاره شده است، شما به نظر می رسد که پارامتر هزینه برای چیز دیگری گیج کننده است. "10" مشخص می کند که چه مقدار عملیات bcrypt را محاسبه می کند. مقدار بزرگتر هزینه را برای مهاجمان افزایش می دهد، زیرا این عملیات را به میزان قابل توجهی در محاسبات انجام می دهد.
اگر بخواهید رمزهای عبور تکراری را بررسی کنید، نیازی نیست که یک برنامه homebrew مانند این را داشته باشید. اگر واقعا میخواهید، می توانید رمز عبور ارائه شده را با هم تلفیق کنید و با استفاده از نمک کاربر اول، آن را هش کنید و آن را با هش ذخیره شده مقایسه کنید. اگر آن را مطابقت ندهد، همین کار را برای کاربر دوم انجام دهید و غیره. این بدان معنی است که هر گذرواژه جدید تنظیم شده، نیاز به راه رفتن را از طریق کل پایگاه داده دارد، اما رمزهای عبور را که دقیقا تکثیر هستند شناسایی میکند.
