È sicuro usare pbkdf2 sia per l'hashing della password che per la generazione delle chiavi

Naviga le tue risposte
2

Sto scrivendo un gestore di password, in questo momento per ogni singolo sito, ho già usato la password principale + salt casuale con PBKDF2 per generare la chiave di crittografia per crittografare la sua password (ogni sito ha il proprio sale).

È ancora sicuro usare la master password + un'altra salt random con PBKDF2 per generare hash per la master password (questo hash sarà memorizzato nel DB per l'autenticazione dell'utente)? O dovrei usare un algoritmo di hashing come SHA-256?

    
posta gzup 07.07.2015 - 09:20
fonte

1 risposta

1

Poiché PBKDF2 può essere utilizzato per generare il numero di byte desiderato / necessario, è ovviamente possibile utilizzarlo sia per l'hashing della password principale che per la generazione delle chiavi. Non hai nemmeno bisogno di usare sale differenti, basta generare un hash di n byte, quindi generare n + m byte, eliminare i primi n byte e usare gli altri m byte come chiave.

    
risposta data 30.07.2015 - 12:11
fonte

Leggi altre domande sui tag

Giustificando il primo fattore strong nel contesto dell'autenticazione a più fattori - oltre le password Per gli attaccanti che cercano di lanciare spoof arp su un bersaglio, l'attacco deve avvenire in tempo reale?