Technologie Twitch potwierdza - hasła nie wyciekły

Przy okazji dla ciekawskich o bcrypt (bo akurat użycie w nim Blowfish jest imho najmniej interesujące i najmniej mówi):
Trochę teorii za wikipedią:
Besides incorporating a salt to protect against rainbow table attacks, bcrypt is an adaptive function: over time, the iteration count can be increased to make it slower, so it remains resistant to brute-force search attacks even with increasing computation power.

A teraz po ludzku:
Wykorzystuje on fakt, że hashowanie haseł nie jest czymś, co trzeba robić super często, więc może być stosunkowo wolne/zasobożerne. Dla serwisu nie robi to dużej różnicy, ale dla atakującego, który musi sprawdzić wiele kombinacji koszt i czas operacji jest znacznie wydłużony nawet dla względnie prostych haseł ([ilość kombinacji] * [czas hashowania 1 hasła]).
Co więcej! Oferuje on możliwość zwiększenia czasu potrzebnego na stworzenie hasha, co pozwala walczyć z rosnącą mocą oprogramowania - tj. można sprawić, że to samo hasło, które np. (teoretyczny przykład, żeby zobrazować) 10xGTX 950 zgadywały po 1 miesiącu pracy po "ulepszeniu hasha" może wymagać 3 miesięcy pracy dla 10xRTX 2080.
Dodatkowo wymaga "soli" (salt), która tl;dr jeszcze bardziej utrudnia atakującym robotę (nie można używać "rainbow tables", ale o tym nie będę się już rozpisywał).

Więcej informacji dla ciekawskich:
[Ctrl+F "3. BCrypt"] https://sekurak.pl/kompendium-bezpieczenstwa-hasel-atak-i-obrona/
Angielskie
https://en.wikipedia.org/wiki/Bcrypt
https://en.wikipedia.org/wiki/Rainbow_table