<div dir="ltr"><div><div><div>What are reliable methods to estimate relative added bits of security via key stretching algorithms such as scrypt?<br><br>This is fundamentally a shaky question, because the slowdowns given by key stretching are relative and measures in "seconds" depend on hardware. There is, however, some existing literature on the subject:<br><br>"With simple iterated password hashing, a modern CPU<br>can compute a hash function like SHA-256 at around<br>10 MHz [1] (10 million SHA-256 computations per sec-<br>ond), meaning that if we slow down legitimate users by<br>≈ 2 ms we can add 14 bits to the effective strength of<br>a password, and we can add 24 bits at a cost of ≈ 2 s." [0]<br><br></div>What is the validity of such methods of estimation when converted to memory-hard key stretching such as scrypt? Or more traditional hash-based key stretching such as bcrypt or PBKDF2?<br><br></div>A discussion with the goal of ascertaining the added value of key stretching methods, described in bits of security, might be worthwhile for people creating encryption software.<br></div><div><div><div><div><div><br>Nadim<br><br>[0 ]<a href="https://www.usenix.org/system/files/conference/usenixsecurity14/sec14-paper-bonneau.pdf">https://www.usenix.org/system/files/conference/usenixsecurity14/sec14-paper-bonneau.pdf</a></div></div></div></div></div></div>