主要观点：

• 公司只有已被黑客攻击和将被黑客攻击两种，FBI 前局长罗伯特·S·穆勒三世如是说。
• 有人认为无需密码管理器，用同一个密码即可，但这存在安全风险。
• 生成安全密码哈希本应是已解决的问题，但行业采用缓慢，导致众多数据泄露，如 LinkedIn、Yahoo、Adobe、MySpace 等公司的密码哈希被盗，凸显强密码哈希算法的重要性及行业采用新安全技术的迟缓。
• 过去 30 年，密码破解技术和硬件显著发展，密码猜测性能大幅提升，如不同年份各种算法和工具的密码猜测每秒次数，DES-crypt 的密码猜测速度增长惊人。
• Bcrypt 在过去 25 年中虽面临计算能力提升和新密码破解技术的挑战，但仍有效可靠，其可适应工作因子、开源实现广泛、注重计算成本缩放等使其在大型互联网服务中仍具优势，同时 Facebook 已部署 scrypt 等新算法。
• 现代密码哈希算法虽降低了暴力密码猜测的有效性，但密码填充攻击仍存威胁，多因素认证转移了安全重点，密码在数字生活中仍重要，多数安全专业人士认为从技术角度密码安全已解决，但实际安全问题更多源于人为因素和采用安全技术的成本。
• 公司在采用安全技术方面缺乏现成解决方案，多数公司倾向于在业务增长和安全之间权衡，更严格的法规等可能改变这一状况，而对于已实现成熟安全态势的公司，人为因素和内部人员风险是主要关注点，解决内部人员风险缺乏直接技术解决方案，且找到和雇佣有安全领域专业知识的工程师也困难，作者通过创作 EDM 曲目来提高对安全领域的兴趣以解决人才短缺问题。

关键信息：

• 多个知名公司数据泄露事件及所用密码哈希算法情况。
• 不同年份各种密码哈希算法和工具的密码猜测速度数据。
• Bcrypt 的特点、优势及在不同时期的表现。
• 现代密码相关的各种攻击形式及安全措施变化。
• 公司采用安全技术的现状及面临的问题。
• 作者通过 EDM 曲目解决安全人才短缺的尝试。

重要细节：

• LinkedIn 2012 年约 117 百万密码哈希被盗，使用 SHA-1 算法。
• Yahoo 2013 和 2014 年共 30 亿用户账户被 compromis，使用多种哈希算法。
• Adobe 2013 年 153 百万用户账户被 compromis，密码存储方法不当。
• MySpace 2016 年 360 百万密码哈希被盗，使用未 salt 的 SHA-1 算法。
• Bcrypt 设计可适应 CPU 性能提升，抗 GPU 优化在于内存访问模式等。
• Facebook 部署 scrypt，Solar Designer 开发 yescrypt。
• 现代密码攻击形式如密码填充攻击，多因素认证的作用。
• 公司采用安全技术的权衡及内部人员风险问题。
• 作者创作 EDM 曲目以提高安全领域兴趣。