Considera che negli anni '90 sei avanti rispetto alla curva, hai hashed e hai salato le tue password con SHA e sei un grande sito, milioni di account, ecc.
Bene, il web si evolve, e nel tempo diventano sempre più avanzate misure di sicurezza e luogo comune. Allungamento chiave, hardware più avanzato, hardware più economico, ecc.
Immagina che non tutti i tuoi clienti accedano ogni anno. Non ti interessa quanto spesso si collegano, se hanno creato l'account negli anni '90 e vogliono accedervi nel 2014, questo è perfetto. Ma vuoi migliorare la loro sicurezza.
Immagina un'evoluzione nella sicurezza in cui vai da un semplice hash SHA, a PBKDF, a Bcrypt, a Scrypt e in futureCrypt. Nel corso di questa evoluzione, aumenti le ripetizioni e tutti gli altri valori configurabili che potrebbero verificarsi quando l'hardware aumenta di potenza e accessibilità.
Suppongo che
1) le persone fanno questo, è una cosa?
E
2) Quali sono le strategie attuali o le strategie teoriche per l'aggiornamento della sicurezza delle password in questo modo?