Ho sempre sentito che scrypt è stato migliore di bcrpyt ... a causa della memoria che causava GPU un momento molto difficile da decifrare. Tuttavia, il concetto era sempre che scrypt non era stato testato, era una specie di nuovo metodo di crypt e che dovevo aspettare che fosse testato prima di usarlo.
È giunto il momento in cui le persone hanno fatto scrypt il nuovo standard da utilizzare? o è ancora in fase beta?
Scrypt ha principalmente sopravvissuto. Non è male; si scopre che i vantaggi di scrypt rispetto alla concorrenza (principalmente bcrypt e PBKDF2) potrebbero non essere meravigliosi come prima affermato. Come sempre, è un compromesso: come qualsiasi funzione di hashing della password, il suo ruolo è quello di rendere l'hashing della password costoso per tutti, aggressori e difensori allo stesso modo. Scrypt utilizza molta RAM per costringere l'attaccante a utilizzare lo stesso hardware del defender (un PC). Il punto negativo, però, è che utilizza molta RAM .
Vedi questa presentazione per alcune informazioni sul presente di hashing della password. È in corso una competizione aperta , per ottenere, pubblicare e analizzare nuove e auspicabilmente migliori funzioni (attualmente nella fase di raccolta dei candidati).
Un bel po 'della sicurezza intrinseca in scrypt è che non fa promesse specifiche ma è già garantito che sia almeno buono quanto le alternative esistenti.
Quindi, nello scenario peggiore, scrypt è valido solo come le tecniche di composizione hash iterative esistenti. Poiché scrypt è, a sua volta, una tecnica di composizione iterativa e poiché le tecniche esistenti sono relativamente ingenue, è difficile immaginare come scrypt potrebbe essere meno sicuro rispetto all'alternativa. La sua sicurezza in questo senso si basa sul fatto che sta usando gli hash consolidati nella configurazione consigliata.
Nello scenario migliore, scrypt aumenterà anche il prezzo di qualsiasi hardware che useresti per gli hash delle password forzanti. Da quanto? Nessuna garanzia. L'obiettivo del progetto è che i dispositivi di hash cracking debbano avere una quantità significativa di RAM dedicata, che è il modo più semplice per aumentare drasticamente la quantità di spazio di colorazione del chip che dovrebbe entrare in tale dispositivo, o limitare drasticamente la quantità velocità del dispositivo, poiché la memoria è molto lenta o molto costosa.
Ma non esiste una metrica per il successo, nessun attacco specifico da difendere. C'è solo un generale "probabilmente rende l'hardware più costoso" affermando che non è affatto un claim.
Lo svantaggio principale, ovviamente, è che probabilmente rende l'hardware più costoso. Il tuo hardware, questa volta. L'obiettivo del progetto è aumentare il costo dell'hashing, il che significa che il computer dovrà costare di più o peggiorare di una configurazione equivalente con altre strategie di hash. Se non capisci cosa sia per scrypt , questo può essere un problema reale.
Con la risposta più eccellente di Thomas Pornin in mente, una interim l'opzione consiste nell'utilizzare un meccanismo che ostacolerà i moderni sistemi di cracking basati su GPU, ma con l'aspettativa di migrare ai risultati della competizione di hashing delle password una volta che diventano disponibili.
Ad esempio, l'uso di PBKDF2-HMAC-SHA512 impedirà il cracking delle GPU odierne grazie all'uso di SHA512. Ma questo tipo di misura dovrebbe essere visto solo come un approccio temporaneo . Non è una soluzione a lungo termine.
Leggi altre domande sui tag php cryptography passwords scrypt