Sto utilizzando PBKDF2 per derivare le password ma non so mai cosa può essere considerato un valore "sufficiente" per il conteggio delle iterazioni.
La tecnologia si evolve molto velocemente e vorrei anche sapere con quale frequenza e quanto dovrei aumentare il valore (ad esempio: + 20% ogni anno).
Non esiste un conteggio "sufficiente", poiché le parole chiave scelte dall'utente possono sempre essere completamente deboli, indipendentemente dal modo in cui le istruisci. Vuoi che il conteggio sia il valore più alto che puoi tollerare.
Ricordare che l'aumento del conteggio delle iterazioni aumenta meccanicamente il costo operativo. Dovrai quindi impostare il conteggio su un valore sufficientemente basso per consentire alla macchina di essere in grado di elaborare le password in modo tempestivo. Questa è un'analisi che devi fare da te, perché dipende dall'hardware e dal carico di punta previsto e dalla tolleranza dell'utente ai ritardi. I conteggi di iterazione più alti tendono ad aumentare la vulnerabilità agli attacchi denial-of-service.
Non aumenti il conteggio delle iterazioni su base regolare per abbinare la "tecnologia media". Aumenta il conteggio delle iterazioni quando puoi permettertelo, il che non dipende dalla disponibilità generale dei server più veloci, ma dai server che hai effettivamente acquistato e in uso. Pertanto, pianifichi un aumento del conteggio delle iterazioni ogni volta che acquisti nuovo hardware.
Leggi altre domande sui tag password-management pbkdf2