Sono stato incaricato dal mio capo di cambiare il sistema di crittografia della nostra applicazione web da MD5 a PBKDF2 poiché MD5 / SHA1 ha dimostrato di essere fragile negli ultimi anni.
Ne ho discusso e ho pensato che dovremmo consentire agli utenti di tentare di accedere a un massimo di 200 volte al giorno, qualsiasi cosa di più comporterebbe un blocco dell'account utente. Il mio fondamento logico era che PBKDF2 sarebbe presto rotto in pochi anni e avremmo dovuto cambiare di nuovo il nostro sistema di crittografia quindi perché non limitare il numero di volte che un utente può tentare di accedere. Il mio capo tuttavia insiste sul fatto che io implementi PBKDF2
Queste sono le mie domande seguenti:
1) Il mio fondamento logico per voler limitare il numero di tentativi che un utente può effettuare per l'accesso è ragionevole ??
2) Ci sono dei difetti nel mio argomento
3) Il mio capo è corretto ???