Per quanto ne so, ci sono un paio di varianti di BCrypt e ho anche capito che alcune di quelle varianti hanno difetti di sicurezza quindi mi chiedevo se andava bene o no che la libreria che sto usando usa $ 2a $ variante. È sicuro? È ancora aggiornato e può ancora essere utilizzato? Sto usando bcrypt.net per c # (la nuova versione aggiornata su GitHub) e usa il prefisso $ 2a $
Questo è tratto dalla wiki pagina:
$2a$ – The current key used to identify this scheme. Since a major security flaw was discovered in 2011 in a third-party implementation of the algorithm,[15] hashes indicated by this string are now ambiguous and might have been generated by the flawed implementation, or a subsequent fixed, implementation. The flaw may be triggered by some password strings containing non-ASCII characters, such as specially crafted password strings.
Se cerchi alternative, ti consiglio PBKDF2 con cicli di iterazione SHA512 e 5k - 10k. Dovrebbe essere abbastanza per rendere la forza bruta troppo costosa e continuare a eseguire le tue app senza notevole ritardo. Qui è un'implementazione di c # disponibile in commercio.
Leggi altre domande sui tag cryptography passwords hash bcrypt