вот тут можно посмотреть краткое содержание каждой лекции https://habr.com/ru/post/497090/ (включая третью, 21 апреля)

Что касается соли и bcrypt. Маленький ликбез - Bcrypt основан на blowfish - это симметричный алгоритм шифрования. Это важно. Расшифровать симметричный алгоритм крайне тяжело (в природе не зафиксированно криптоанализа против blowfish). Но есть одно но - в bcrypt мы шифруем всегда одну и туже фразу "OrpheanBeholderScryDoubt" ... с помощью вашего пароля. Сам по себе blowfish это блоковый ECB шифр. У ECB шифров есть особенность: один и тотже текст зашифрованный с помощью одного и тогоже ключа будет каждый раз давать один и тотже шифрованный такст. Это важно! Чтобы этого не произошло мы к паролю добавляем псевдослучайную последовательность "соль". Тогда два пользователя с одинаковыми паролями которыми шифруют всегда одну и туже фразу будут иметь разные шифрованные тексты (или как их называют плохие дядьки  - хеши). Кроме того соль защищает нас от атак по словарю  типа rainbow. Это когда мы заранее шифруем кучу всего а потом просто сравниваем шифры с шифрами в вашей базе данных. И да ! Никаких атак на расшифровку против blowfish мне неведомы. Только брутфорс всемогущий.

Да, с  ECB есть забавная картинка про пингвина)

и Гуся

Слева оригинал, справа зашфированная картинка

Это к словам Андрея про то, что зашифрованный одним ключем текст будет всегда на выходе давать один и тот же результат (иллюстрация). Так легко запоминается про режим ECB)

@tshemsedinov просил написать почему мы ушли к argon2 — победитель контеста 2015, рекомендация OWASP https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html#modern-algorithms.

Используйье Argon2id и нет side channel и GPU атак.

Message from Dmytro Nechai deleted. Reason: external link (?)

@tshemsedinov просил написать почему мы ушли к argon2 — победитель контеста 2015, рекомендация OWASP.

Используйье Argon2id и нет side channel и GPU атак.

Линк не могу, мне бот удалил сообщение. Гуглите по OWASP password hashing modern algorithms.

https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html ?

Линк видно, это бот только пугает

у них начинается все с
"Use Bcrypt unless you have a good reason not to." :))

но на самом деле, спор на ровном месте) У каждого решения преимущества и недостатки

А если почитать, сводиться к тому, что юзай Бкрипт, если лень разбираться, если нет — юзай аргон, нужна сертификациия — юзай пбкдф.

в итоге bcrypt, argon2, scrypt — все защищены. но bcrypt максимально проста для использования?

самое интересно, что PBKDF2 это типа SHA1 вызывать тысячи раз, чтобы было медленее и нагрузить CPU, а scrypt еще внутри использует PBKDF2 и добавляет сложность по памяти

Типа того. Ну и scrypt есть из коробки

если приложение нужно доставлять в docker-образе и оно юзает bcrypt библиотеку, та которая из npm, то не удастся как базовый образ использовать node-alpine или node-slim без установки в образ дополнительных библиотек для сборки этого пакета, возможно кого-то это не устраивает