@Chad0000 这个方案只讨论针对浏览器的场合，本身就是一个低成本方案，也没考虑要升级难度。多加几行代码，多花几百 ms 强化口令，用 dk 代替 password 而已，没有非常大的提升但聊胜于无。

@Chad0000 这个是可以缓解的，不管用户存不存在，都可以返回一个值。

实际应用时为了灵活性，返回的并不是难度值，而是算法名和参数，这样适用于任何算法。

（更进一步，比如针对浏览器的场合，返回的甚至是一个 JS 版本号，前端动态加载这个 JS ，然后通过约定的接口去计算 hash 。顺便还可以在动态模块里做些风控检测）

@shiny 目前浏览器里只有 sha 相关的 pbkdf ，只能在 salt 上做些变通，比如选取 网站 uuid+用户名，专为这个网站做彩虹表，成本太大划不来。

@Chad0000 难度值可以不用写死在客户端，可以通过用户名实时查询，是公开的。（这个值也没有太大的隐私性）

@shiny hash 和 PBKDF 还是有区别的，这个强度的 PBKDF 彩虹表得几十年吧。

@Chad0000 低端设备确实没办法😂 不过穿戴设备也不方便输入，可以直接在手机或电脑上登录，把登录态同步过来。或者通过扫描等方式把 dk 同步过来。

@Chad0000 不会有碎片化。保存的只有当前难度值和对应的 hash 。客户端升级的时候需要用户重新输入一次密码。升级难度也不会很频繁，可能几年才一次。

@Chad0000 难度值本身就有，代码里那个 1000 万。你说要考虑后期升级，才出现这么多操作。最简单就是用固定的值。

@Chad0000 记录每个用户的难度值就可以了（这个值公开）。登录时输完用户名，前端可以得到当前难度值。然后算这个难度值的 dk 。如果后端还给了新的难度值，顺便再算新的 dk 。

@Chad0000 其实是重置“强度”，口令本身不用改。后端要求升级时，用户登录时把旧的 KDF 和新的 KDF 都提交上去，旧的用于验证，新的用于更新。

@beginor 支持的，演示代码可以跑。不过 FireFox 没有加速，比 chrome 慢一倍。

@LandCruiser KDF 计算量太大，后端算成本太高。

@StevenRCE0 是的，纯属娱乐，输入效率非常低😂 适合初学者学习使用，晚上睡觉关掉手机屏幕了也能用。

完全有必要，代码可读性大幅提升

特性？

不要生气，五一出门游玩的话，把家里电脑开着用闲置的千兆带宽压它几天。

问写过的人找个模板改就可以，两小时就能写一个。

@NoOneNoBody 主要耳机这个场合不能按的太快，按太快会被误识别成双击，所以再用额外按键标记间隔信息可能会更慢。当然用三击标识间隔是可行的，删除用其他方式表示。我考虑改进下。

@NoOneNoBody 如果单独设置一个按键用于强制分隔倒也是可以，比如把三击用于强制分隔，这样输入的时候就不用人为去等超时了，直接三击立马输出。