SHA-256 + Salt è ancora sicuro per l'archiviazione delle password? [duplicare]

5

Sto sviluppando un sito Web che richiede agli utenti di registrarsi per poter utilizzare le sue funzioni e mi chiedevo se SHA-256 + salt (sale casuale fornito da RNGCryptoServiceProvider in C #) sia sicuro e abbastanza buono da utilizzare nel 2017?

    
posta Itay080 29.06.2017 - 10:26
fonte

2 risposte

16

Per l'archiviazione delle password, gli hash SHA256 salati sono non consigliati. Questo perché SHA256 è progettato per essere veloce. Veloce è esattamente ciò che non si desidera per un algoritmo di hashing della password, poiché rende la forza bruta e gli attacchi al dizionario molto più efficienti.

Gli hash di memorizzazione password sono progettati per richiedere un determinato carico di lavoro e, in alcuni casi, un requisito minimo di memoria. I buoni schemi di archiviazione delle password sono progettati per essere difficili da serializzare e / o ottimizzare.

Lo schema di archiviazione delle password raccomandato nel 2017 è l'hash BCrypt, con PBKDF2 come opzione alternativa, ma leggermente meno considerata.

Per una risposta più completa, leggi la sec.se "risposta standard" sull'hash della password di < a href="https://security.stackexchange.com/users/655/thomas-pornin"> Thomas Pornin .

    
risposta data 29.06.2017 - 10:38
fonte
1

Potrebbe essere - se soddisfa la tua valutazione del rischio per le potenziali minacce che senti di dover affrontare.

Ma ti consiglio di utilizzare una funzione di derivazione basata su password. Queste sono funzioni di stile basate su hash e ideali per l'archiviazione di password.

Guarda in PBKF # 2 per la tua applicazione C #. C'è anche il Bcrypt ampiamente usato (anche se io uso il primo con C # come nativo)

Questo può essere d'aiuto: link

Ma ti consiglio di controllare la documentazione MSDN per informazioni aggiornate.

    
risposta data 29.06.2017 - 10:37
fonte

Leggi altre domande sui tag