Mi è stato detto che è abbastanza facile decifrare le password quando un utente malintenzionato ottiene un elenco di hash di queste password. Questo è abbastanza facilmente comparabile agli hash delle password comuni precalcolate, o alla forza bruta confrontata o attaccata con un elenco basato su dizionario o lista arcobaleno.
Per questo motivo gli hash veloci come MD5 sono deprecati. La mia domanda è se applicando l'algoritmo hash molte volte si può davvero ottenere l'archiviazione delle password che è più difficile da decifrare con tutti gli approcci sopra citati, o è solo un'illusione?
Mi sembra che la risposta sia sì, è più sicura. Se memorizzo l'hash di una password che è stata re-hash N volte, un utente malintenzionato dovrebbe sapere quanti passaggi di hashing ho fatto, o indovinare questo numero. Prendere N abbastanza grande mi sembra renderebbe un attacco del tutto inattuabile, mentre conservare l'hash sarebbe ancora una cosa rapida (immagina alcune decine di migliaia di passaggi di hash, sarebbe ancora questione di secondi che indovino su una CPU)