È a mia conoscenza che lo scopo dei file .htpasswd
è di limitare l'accesso ad alcuni file nel filesystem del server. Se un utente malintenzionato vi accede, probabilmente ha accesso anche a tutto il resto, quindi sembra che ci sia poco senso usare un hash lento in questa situazione (aumenterebbe solo il carico del server). Tuttavia, ho appena visto che Apache 2.4 ha introdotto il supporto per bcrypt
in questi file:
*) htpasswd, htdbm: Add support for bcrypt algorithm (requires apr-util 1.5 or higher). PR 49288. [Stefan Fritsch]
La richiesta di funzionalità non offre alcuna spiegazione su perché usando un hash più semplice, "le password memorizzate in quelle funzioni hash sono vulnerabili al cracking". È solo una "paranoia" o c'è una buona ragione per usare un hash più strong in questo scenario?