OK, ho appena iniziato a lavorare per una società di consulenza sulla sicurezza e raccomandiamo SHA 256 (con sale) per l'hashing della password perché MD5 è troppo debole. Ho letto alcune risposte brillanti (la lista è troppo lunga !!!) su sec.SE riguardo l'hashing delle password negli ultimi mesi e sarebbe un peccato non provare e dimostrare ai miei colleghi e agli anziani che MD5 e SHA non sono adatto per l'hashing della password.
Ho pensato che sarebbe stato utile creare un PoC (database demo contenente hash di password con MD5, SHA 256 e bcrypt e tentare di misurare il tempo impiegato per generare l'hash) accompagnato da alcuni riferimenti standard. I punti che Sono disposto a fare sono:
- L'utilizzo di SHA 256 su MD5 per l'hashing della password non migliora la sicurezza. Un algoritmo di hashing della password (bcrypt, PBKDF2) sarebbe una scelta molto migliore per l'archiviazione delle password, ovviamente con sali unici.
- Alcuni riferimenti standard per supportare queste visualizzazioni. I riferimenti sono importanti per supportare le viste.
P.S. Ho esperienza di programmazione, ma sono un principiante quando si tratta di cracking delle password basato su hardware. Non è una domanda "dammi il codice"; Sto solo chiedendo idee e suggerimenti per rendere questo un PoC migliore.