Prima di tutto, ogni password memorizzata dovrebbe essere sottoposta a hash con un diverso sale pseudo-casuale. Secondo, SHA-256 non è appropriato per la memorizzazione di password; al contrario, si desidera utilizzare un algoritmo key stretching , come già menzionato. Ci sono molti più dettagli su Crackstation .
Un hash crittografato viene anche chiamato hash con chiave e la chiave viene talvolta chiamata "pepe". Non è necessario un passo di crittografia separato. Invece, la chiave segreta fa parte dell'input della funzione hash. Che può migliorare la sicurezza. Ci sono due modi in cui gli attaccanti possono ottenere una copia degli hash delle password. Uno è quello di compromettere il meccanismo di archiviazione, come con SQL injection. In tal caso, un hash con chiave può rendere effettivamente impossibile recuperare le password in chiaro dagli hash perché la chiave può essere compilata in un programma o mantenuta al di fuori del meccanismo di memorizzazione della password. L'altro modo è di compromettere il sistema operativo stesso. In tal caso, la chiave è compromessa e non rappresenta più un ostacolo ai tentativi di attacco delle password.
Quindi, la risposta breve è sì, ma devi prima eseguire il lavoro sottostante.