A causa di una discussione in corso nel mio ufficio, mi chiedevo se qualcuno avesse commenti sul fatto che la sicurezza dell'hash delle password dovesse essere molto strong se è richiesta anche la convalida del certificato client per la verifica dell'account.
Usiamo l'hashing SHA-512 con un sale randomizzato per l'archiviazione delle password. È stato suggerito che non è necessario iterare la funzione hash poiché richiediamo ENTRAMBI la password e un certificato client per la convalida dell'utente.
La sicurezza del nostro account è significativamente inferiore se riduciamo il numero di iterazioni di hash tenendo conto che richiediamo anche la convalida del certificato client?
Poiché in alcuni casi consentiamo la convalida del solo certificato, e in alcuni casi (ad esempio sui computer degli sviluppatori) consentiamo la convalida della sola password, sono tentato di suggerire che consentiamo un numero basso di iterazioni (o nessun extra iterazioni) del metodo di hashing per gli utenti che richiedono la convalida del certificato client, ma richiedono un numero normale di iterazioni hash per gli utenti che non lo fanno. Ha senso?