Sto scrivendo una pagina per il nostro sito web che descrive le misure che adottiamo per mantenere al sicuro le informazioni dei nostri clienti. In questa pagina una sezione descrive come manteniamo sicure le loro password.
Stiamo utilizzando Secure Password Storage v2.0 che è un'implementazione di PBKDF2. Stiamo utilizzando l'algoritmo hash SHA256, 64000 iterazioni e 24 byte per il nostro sale casuale. Non sono proprio sicuro che questo sia così importante, a parte il fatto che non voglio che la gente venga con i forconi sollevati pensando che stiamo crittografando le password.
È corretto dire "Le password che memorizziamo non possono essere decifrate"? Sono preoccupato che ciò implichi che le password non possano mai essere incrinate, il che semplicemente non è vero. Tuttavia, voglio sottolineare ai nostri utenti che il nostro sistema per memorizzare le password è abbastanza sicuro da non doversene mai preoccupare (purché scelgano una password sufficientemente unica, ovviamente), anche nel caso del l'intero database delle password viene rubato.
Altre opzioni che ho considerato sono "Il metodo utilizzato per memorizzare le password non può essere annullato" o "Nel caso di una violazione, la tua password non dovrebbe essere recuperabile", ma trovo che non possono essere decifrati per essere più comprensibili e al punto, soprattutto perché alcune persone potrebbero non rendersi nemmeno conto che le password non sono archiviate in testo semplice.