Supponiamo che io abbia una password utente hashing con PBKDF2, bcrypt, scrypt o qualche altra funzione di derivazione della chiave sicura.
Ci sono:
- vantaggi tangibili per la sicurezza,
- precedenti e
- ricerca rispettata
per proteggere questi hash dagli attacchi offline crittografando gli hash o altrimenti applicando una chiave segreta tramite, ad esempio, un HMAC?
Credo che questo post precedente abbia tentato di chiedere a domanda simile, ma la domanda non era chiara e veniva trattata dalla maggior parte dei responder come se chiedesse se le password stesse dovrebbero essere HMACed invece di essere passate prima attraverso un KDF salato.