Это ожидаемое поведение (особенно для bcrypt, которое, возможно, лучше).Единственная цель этого значения - снизить производительность для повышения безопасности.
Скорость хэширования не требуется, поскольку это позволяет злоумышленнику пробовать больше вещей за заданный промежуток времени.Эта статья объясняет это: http://codahale.com/how-to-safely-store-a-password/.
В devise, stretch используется для более высокой настройки рабочего фактора, так что пароли занимают много времени при хешировании.Настраиваемый характер необходим по двум причинам: 1) разные приложения имеют разные приемлемые характеристики производительности и 2) по мере того, как компьютеры работают быстрее, вы должны иметь возможность увеличить коэффициент работы, чтобы поддерживать одинаковую производительность.
Идея состоит в том, чтоВы должны настроить это значение как можно выше, сохраняя при этом приемлемую производительность.Цель состоит не в том, чтобы заставить вход в систему занимать 60 секунд, а в том, чтобы сделать это более длительным, чем микросекунда или две.Если вы можете найти значение для натяжений, которое замедляет запросы примерно до 200 миллисекунд или около того, это, вероятно, то, где вы хотите быть.