Kata sandi hash dimasukkan melalui algoritme untuk diubah secara kriptografis dari sesuatu yang dapat dibaca menjadi perebutan yang tidak dapat dipahami. Algoritme ini adalah “fungsi satu arah” yang mudah dijalankan tetapi sangat sulit untuk didekode atau “dipecahkan”, bahkan oleh orang yang membuat hash. Dalam hal keamanan login, idenya adalah Anda memilih kata sandi, platform yang Anda gunakan membuat hash, dan kemudian ketika Anda masuk ke akun Anda di masa mendatang, sistem mengambil kata sandi yang Anda masukkan, hash itu, lalu bandingkan hasilnya dengan hash kata sandi pada file untuk akun Anda. Jika hash cocok, login akan berhasil. Dengan cara ini, layanan hanya mengumpulkan hash untuk perbandingan, bukan kata sandi itu sendiri.
Inovasi bcrypt adalah termasuk parameter keamanan yang dapat disetel dari waktu ke waktu untuk membutuhkan lebih banyak daya komputasi untuk memecahkan hash bcrypt. Dengan cara ini, karena kecepatan pemrosesan yang tersedia secara luas meningkat, hash bcrypt bisa menjadi semakin sulit untuk dipecahkan.
“Itu salah satu ide yang sangat jelas dalam retrospeksi,” kata Mazieres. “Tentu saja, keren bahwa bcrypt adalah hal yang saya dan Niels lakukan. Tapi saya pikir yang penting adalah, apa pun algoritma hashing kata sandi yang kita miliki, ada semacam parameter keamanan untuk membuatnya lebih sulit [in a way] itu adalah fungsi dari sumber daya komputasi.”
Fungsi hash generasi berikutnya membutuhkan lebih banyak memori untuk mencoba memecahkan kata sandi hash, selain kekuatan pemrosesan.
“Masalahnya adalah komputer terus menjadi lebih cepat, jadi fungsi yang tampak ‘lambat’ hari ini mungkin akan menjadi cepat di komputer besok,” kata kriptografer Johns Hopkins, Matthew Green. “Ide di balik bcrypt adalah membuat ini dapat disesuaikan. Jadi seiring waktu, Anda dapat meningkatkan tingkat kesulitan dengan sangat mudah. Tapi kemudian masalahnya menjadi orang membuat tebakan lebih cepat dengan memanfaatkan perangkat keras khusus yang dapat menghitung banyak hal secara paralel. Ini merusak keamanan untuk fungsi seperti bcrypt. Jadi ide yang lebih baru adalah menggunakan fungsi yang juga membutuhkan banyak memori, serta perhitungan, berdasarkan teori bahwa serangan paralel tidak akan dapat menskalakan sumber daya ini juga.”
Keamanan kata sandi selalu tertinggal, dan baik Provos maupun Mazieres menyatakan ketidakpercayaan dan kekecewaan bahwa keadaan kata sandi secara luas tidak berkembang dalam beberapa dekade. Bahkan skema baru seperti kunci sandi baru saja mulai muncul.
“Bcrypt seharusnya sudah digantikan,” kata Provos. “Sungguh mengejutkan betapa kita masih bergantung pada kata sandi. Jika Anda bertanya kepada saya 25 tahun yang lalu, saya tidak akan menebaknya.”
Provos beralih membuat musik dansa elektronik bertema keamanan dunia maya dan autentikasi dengan nama DJ Activ8te sebagai cara untuk membagikan gagasannya tentang keamanan kepada audiens yang lebih luas dan berupaya menciptakan perubahan budaya dalam cara orang mendekati keamanan pribadi mereka. Mazieres juga menekankan bahwa industri teknologi telah merugikan orang dengan melatih mereka mengautentikasi dengan cara yang berbahaya—mengklik tautan dan memasukkan kata sandi secara terus-menerus dan seringkali tanpa pandang bulu.
Bahkan jika momen bcrypt telah berlalu, para penemunya mengatakan masih ada gunanya menginvestasikan waktu dan energi untuk meningkatkan otentikasi dan keamanan digital secara lebih luas dan untuk membantu orang memperkuat pertahanan digital mereka sendiri.
“Ada versi dunia di mana saya hanya akan membuat musik dan melakukan pandai besi,” kata Provos. “Tetapi keadaan keamanan masih membuat saya sangat sedih sehingga saya masih merasa harus berkontribusi kembali.”