android 上，大家有用 BCrypt 算法给用户密码加密的么？ help！！！！

用 SHA256

bcrypt 可以调节复杂度的呀，你设置了多少？

@lhbc 如果服务器用的是 bcrypt 保存密码，那么客户端这边需要怎么处理密码？

@egen 是哪个参数 你知道吗？

@stewforani #4 cost

@cevincheung 什么意思？大神

@stewforani #4
不知道你用的是哪个库，一般会有一个 ROUNDS 参数，默认的可能是 10 或者 12 ，你可以调低到 8 看看，一般有效值会在 4 到 31 之间。
调整 rounds 参数不会影响旧密码的解密，如果后面你觉得可以性能上来了可以再调高然后更新旧密码即可。

给服务端做啊，干嘛要在客户端做。

楼上说得才是真理，客户端环境不可控，离复杂度设置多少都不合适。

BCrypt 的本质就是要耗电，所以如果楼主不想让用户看到自己在耗电名单上名列前茅的话。。。

@stewforani
现在还有新的 argon2 算法

上 https 然后服务器端加密

@maemual 在客户端做有两个优点。
1 、减轻服务端负担。
2 、防止中间人攻击。
而无论何种方式，在客户端受到攻击的情况下都没有意义

@lslqtz 1 、服务端还不需要节省这种负担
2 、如果会被中间人，被人截获密码和被截获 bcrypt 之后的结果并没有什么区别

@maemual 2. 避免大批量泄漏明文密码。最好就是在客户端 hash 一次，服务器加 salt 再 hash 若干次。

@maemual 服务器加密的性能同样有限

@lslqtz #16 服务端性能不够可以靠堆机器解决，客户端性能不够准备靠堆什么解决。更何况还没听说哪家穷到连跑 bcrypt 能成为性能瓶颈的。

@lhbc #15 你了解 bcrypt 么？

@lhbc 为何不干脆 https ？

同感，想不出在客户端做 bcrypt 有意义的场景