Attualmente stiamo lavorando all'autenticazione per un'applicazione web. Per l'archiviazione delle password, utilizziamo Jasypt StrongPasswordEncryptor con SHA-256 e decine di migliaia di iterazioni. Entrando nel progetto, avevo sperato di implementare PBKDF2-HMAC-SHA512 (non credo che potrei ottenere la trazione su un interruttore per bcrypt o scrypt).
Il Jasypt StrongPasswordEncryptor semplicemente re-hash il passato comunque molte volte specificato usando SHA-256 (o altro algoritmo scelto), invece delle iterazioni HMAC in PBKDF2. Comprendo che il vantaggio di sicurezza di PBKDF2 è la sua bassa velocità, mentre SHA è veloce. Tuttavia, poiché PBKDF2 sta semplicemente reiterando HMAC-SHA (o qualche altra funzione), è difficile mostrare un miglioramento rispetto al metodo corrente.
Se il miglioramento della sicurezza derivante dal cambiamento è minimo, è improbabile che venga fatto. Se c'è un sostanziale miglioramento della sicurezza, è ancora abbastanza presto nel progetto da realizzare.
Di cosa si tratta HMAC-SHA che lo rende migliore / più lento di un normale SHA?
Che tipo di informazioni posso portare a una richiesta di modifica - quanto miglioramento ci sarebbe?
La modifica è necessaria?