Esiste una regola per il tempo minimo per una funzione di hashing della password?

Naviga le tue risposte
1

Quanto è veloce troppo veloce? 50ms? 500ms?

Ad esempio, Argon2d time = 1 threads = 1 mem = 65536 richiede 50ms con l'EC2 di oggi, è "abbastanza buono"?

Ovviamente dipende dalle risorse degli hacker e dall'entropia delle password, ma sto solo cercando una regola empirica applicabile ai tipici proprietari di siti web; non cercando una formula o altro.

    
posta dtgq 23.10.2017 - 22:12
fonte

1 risposta

1

Tempo minimo? Si desidera che la funzione hash impieghi tutto il tempo che si ritiene tollerabile per la propria applicazione.

Hai suggerito 50ms e 500ms. Mentre 50ms è semplicemente troppo veloce, 500ms è solo un po 'lento. Nel 2015, @Thomas Pornin ha raccomandato una velocità minima di 241 ms . Questa è stata la raccomandazione di 2 anni fa, quindi potresti voler andare un po 'più in alto, ad esempio 270 ms.

In ogni caso puoi usare i tuoi 500ms, ma solo se non è troppo lento per la tua applicazione.

    
risposta data 23.10.2017 - 23:08
fonte

Leggi altre domande sui tag

App Android, la perdita IP di WebRTC interessa altre app rispetto ai browser (come YouTube ecc.) Se utilizzo un socket Python su localhost, ci sono dei problemi di sicurezza di cui devo essere a conoscenza?