Estensioni personalizzate per cifrari comunemente usati?

1

Mi chiedo se ci sarebbe alcun valore nella creazione di un codice personalizzato per una maggiore sicurezza.

Quindi, suppongo, ad esempio, che le password siano memorizzate come hash SHA256, se si accede agli hash è possibile eseguire facilmente un attacco di forza bruta poiché gli algoritmi SHA sono uno standard. Ma se hai il tuo codice personalizzato, questo non può essere fatto facilmente. Dal momento che ho quasi zero conoscenze su come creare il mio cifrario e per avere qualche garanzia di resistenza alle collisioni, ho pensato che avrei potuto prendere l'output di una funzione di hash crittografica standard e farla funzionare attraverso qualche altro passo per rendere il risultato meno probabile essere bruto forzato, in quanto sostanzialmente nessuno saprebbe quali sono i pochi passaggi extra.

Un esempio molto semplice che non vorrei usare ma, per il gusto di fare un esempio, sarebbe quello di invertire l'ordine dell'hash con cui ho iniziato.

Pensieri?

    
posta John Euell 02.12.2015 - 07:53
fonte

1 risposta

1

Hai ragione nel fatto che SHA-256 è solo una cattiva scelta per la sicurezza della password. Ma aggiungere "passaggi segreti" non è una buona idea in crittografia, perché ci sarà un tempo in cui questi passaggi segreti saranno pubblici. Invece si usano i sali casuali o algoritmi di usi molto migliori specificamente progettati per questa classe di problemi.

Nel caso di password, ti consiglio di leggere il Scheda trucchi per l'archiviazione delle password in OWASP per scoprire come fallo bene. Vedi anche La casa del mio sviluppatore password di sicurezza in lingua inglese corretta o errata, e perché? .

    
risposta data 02.12.2015 - 08:26
fonte

Leggi altre domande sui tag