SHA-512 diventa adatto per memorizzare una password se utilizziamo salatura e iterazione con esso?

Naviga le tue risposte
1

Oggi ho letto questa discussione su SHA-256 e SHA-512 e che non dovremmo usarne nessuna per memorizzare una password in modo sicuro. E ho letto qui che invece possiamo usare il PBKDF2 funzione di hashing, perché possiamo usare salt e specificare il numero di iterazioni. E 'grandioso, ma cosa succede se uso un salt e iterando con SHA-512?
Ad esempio, considera questa semplice implementazione: 

string Password= "admin";
for(int I= 0; I<numberOfIterations, I++)
{
   Password = sha512(Password+salt);
}
store(Password);

Quindi è possibile applicare qualcosa di simile?

    
posta user3260672 10.08.2015 - 16:23
fonte

1 risposta

13

Today I have read this discussion about wheels and that we should not simply strap ourselves to a wheel to travel on a multilane highway. And I have read here that instead we can take the bus, because it has safety features. That is great, but what about if I use a seatbelt with my wheel?

La salatura è buona. Le iterazioni sono buone. SHA-512 è un buon algoritmo di hash generale. Ma non puoi semplicemente prendere un sacco di cose buone e legarle insieme e aspettarti di avere qualcosa di sicuro da usare. Come un bus commerciale, PBKDF2 (o bcrypt, o scrypt o Argon2 ) ha molti vantaggi rispetto a una soluzione fatta in casa, principalmente :

  1. È stato testato estensivamente da esperti.
  2. Esistono diverse implementazioni, quindi il tuo database utente può essere copiato su una nuova piattaforma con un minimo di confusione.
  3. Ha delle protezioni contro i problemi che non conosci sono anche problemi (cioè è stato costruito da esperti).
risposta data 10.08.2015 - 19:51
fonte

Leggi altre domande sui tag

In che modo è sicuro per l'implementazione OTP utilizzare pagine più piccole del payload? I browser Web più vecchi o personalizzati sovrascrivono lo stesso criterio di origine?