Capacità di calcolare molto hash molto velocemente con hardware dedicato è un problema per gli hash delle password, ma non un problema nuovo . Prima dell'avvento dell'ASIC specializzato in SHA-256, stavamo già prendendo in considerazione FPGA (si veda ad esempio questa macchina per la ricerca , di già cinque anni fa). Un ASIC può essere approssimativamente cronometrato a due o tre volte la frequenza del FPGA equivalente; la produzione di massa abbassa ulteriormente i costi. Questo non qualitativamente cambia la situazione, ma sicuramente dà una spinta all'attaccante, qualcosa come, ad esempio, 3 bit o entropia.
Naturalmente, un semplice SHA-256 per l'hashing della password non è una buona idea; è troppo veloce anche quando l'hacker ha un PC "solo" classico; Presumo che stiamo parlando di PBKDF2 , una costruzione per hashing lento che si basa su un PRF sottostante, in genere HMAC , che a sua volta è costruito su una funzione di hash come SHA-256.
La teoria dice già che, a parità di altre condizioni, l'hashing della password dovrebbe usare la funzione di hash sottostante più efficiente sull'hardware che la processerà nel "sistema onesto", cioè un PC. Questo è il punto delle funzioni di hashing come bcrypt o scrypt. Se si desidera attenersi a PBKDF2, l'uso di SHA-512 sarebbe una buona idea, perché SHA-512 utilizza molte operazioni aritmetiche a 64 bit, un aspetto su cui un PC moderno è molto bravo, ma su cui la GPU fa schifo. L'ASIC specializzato in SHA-256 non modifica questa raccomandazione.