@msg7086 即使是随机盐，要知道大部分用户的密码都不是随机生成而是有一定规律的，比如日期、手机号、身份证号等以及一些拼音、英文单词的组合等，因此可以说 95%以上用户的密码的信息熵都可以说是达不到 48bit 以上的。如果针对特定用户进行 targeted attack ，用 CUDA 推算原密码是分分钟的事情。因此必须用比通用 hash function 计算开销高得多的 key derivation function 才能保障安全。

@Clarencep 多看看书， bcrypt 不可逆，而且 bcrypt 是专用 KDF ，做密码变换比 MD5 之类的通用 hash 好多了。

说二次 Hash 就很安全的也是 Naive ，要知道 PBKDF2 就是标准化的 N 次通用 hash 迭代。例如 Wi-Fi 加密常用的 WPA2-PSK 是用 4096 次 SHA1-HMAC 迭代来生成 256bit 的 AES 密钥， salt 用的是 SSID 。

在不能确保用户使用信息熵足够多的密码的情况下采用单纯的 hash with nonce as salt 都是不安全的，而唯一能确保用户使用信息熵足够多的密码的方法是鼓励用户用 LastPass 、 KeePass 、 1Password 之类的密码管理器生成 48 字符以上随机字串做密码(单 ASCII 字符信息熵可以认为是 6bit 吧，这里假设要提供约 256bit 强度的信息熵)，而且一站一密。这个条件明显比用 bcrypt 保护用户愚蠢的密码更不切实际。

现代 KDF 的发展史就是提高计算复杂度(PBKDF2, bcrypt)->提高空间复杂度(scrypt)->提高 ASIC 实现复杂度(Argon2)，一切都是为了保护用户愚蠢的低熵密码。