Al lavoro l'algoritmo di hash che usiamo per le password sembra essere su misura. Ovviamente questa è una pessima idea, ma la gestione non sembra infastidita.
L'algoritmo produce sempre stringhe maiuscole di 20 caratteri. Un aspetto particolarmente preoccupante del suo comportamento è che password simili producono hash simili: Password1
e Password2
producono hash che sono diversi solo di circa 5 caratteri.
L'altro problema ovvio è che non sembra che l'algoritmo sia deliberatamente lento, il che mi viene detto che dovrebbero essere validi algoritmi di hashing ( bcrypt
, scrypt
).
Come si fa a valutare la forza di un algoritmo di hashing? E che tipo di attacchi dovremmo essere particolarmente preoccupati con un algoritmo di hashing veloce con scarsa uniformità?
Ho accesso alla fonte (anche se sfortunatamente non posso pubblicarlo su un forum pubblico, per ovvi motivi).