Quale rischio pongono i processori SHA256 dedicati commoditized alle operazioni IT?

Tale hardware può rendere la vita più difficile per le persone che si affidano a PBKDF2 per l'hashing della password. Le funzioni di hashing della password sono intenzionalmente lente - lente per il server onesto e per l'hacker. Vogliamo che sia lento come è tollerabile per il server che lo usa, in modo che diventi (si spera) intollerabilmente lento per l'aggressore.

Il vantaggio del convenuto nel gioco di hashing delle password è la complessità della password. Il convenuto vuole una funzione che può essere utilizzata per verificare una password alla volta, mentre l'attaccante deve provare milioni o miliardi di esse.

I vantaggi dell'attaccante sono:

• Pazienza: l'attaccante può permettersi di trascorrere due settimane crackando la password, mentre il convenuto deve verificare la password di un utente entro un secondo (gli utenti non hanno pazienza).
• Denaro: il budget dell'attaccante per l'hardware può superare quello del convenuto.
• Parallelizzazione: l'hacker ha molte password da provare e quindi può trarre il massimo vantaggio dall'hardware che può eseguire calcoli paralleli (ad esempio cluster, GPU o semplicemente un mucchio di PC temporaneamente "preso in prestito" da un'università, nel caso l'attaccante è uno studente annoiato)
• Specializzazione: l'attaccante può investire in hardware specializzato (come quelli a cui fai riferimento) e quindi ottenere più hashing per dollaro investito rispetto al convenuto (perché il convenuto utilizza un server che deve anche fare qualcosa di utile oltre a verificare le password).

L'hardware specializzato che è buono per SHA-256 è quindi un vantaggio per l'attaccante, se la funzione di hashing della password utilizza SHA-256, ovviamente. Alcune altre funzioni di hashing della password (ad es. bcrypt e, ancor più, scrypt ) sono più resistenti alla GPU e offriranno una protezione leggermente migliore, a patto che nessuno inizi a produrre in serie hardware specializzato per cracking della crittografia, ad esempio la famiglia Virtex di FPGA da Xilinx , che ha blocchi RAM incorporati e può quindi calcolare bcrypt in modo abbastanza efficiente). Vedi questa risposta per una discussione più dettagliata.

Si noti che mentre l'hardware specializzato SHA-256 rende teoricamente più semplice attaccare in anticipo SHA-256 (costruzione di collisioni, calcolo di preimmagini ...), il fattore di lavoro per questi attacchi è ancora lontano nella zona irrealizzabile. Vedi questa risposta per alcune analisi.

Questo riduce il compromesso tempo-costo per forzare le brute password corte. Penso che questo significhi che devi ricalcolare il costo per forzare le tue impostazioni. Se le risorse che si stanno proteggendo valgono più del costo per forzare le impostazioni correnti, è necessario aggiungere più iterazioni, complessità della password o requisiti di lunghezza minima.

Quanto costa brutare tutte le password di 6-8 cifre in meno di 2 settimane? Questo sicuramente cambia l'economia e dovrebbe influenzare il modo in cui proteggi le tue risorse a meno che tu non abbia già un sacco di margine.