La mia variante BCrypt ($ 2a $) è valida, aggiornata e sicura?

0

Per quanto ne so, ci sono un paio di varianti di BCrypt e ho anche capito che alcune di quelle varianti hanno difetti di sicurezza quindi mi chiedevo se andava bene o no che la libreria che sto usando usa $ 2a $ variante. È sicuro? È ancora aggiornato e può ancora essere utilizzato? Sto usando bcrypt.net per c # (la nuova versione aggiornata su GitHub) e usa il prefisso $ 2a $

    
posta Itay080 01.07.2017 - 12:08
fonte

1 risposta

2

Questo è tratto dalla wiki pagina:

$2a$ – The current key used to identify this scheme. Since a major security flaw was discovered in 2011 in a third-party implementation of the algorithm,[15] hashes indicated by this string are now ambiguous and might have been generated by the flawed implementation, or a subsequent fixed, implementation. The flaw may be triggered by some password strings containing non-ASCII characters, such as specially crafted password strings.

Se cerchi alternative, ti consiglio PBKDF2 con cicli di iterazione SHA512 e 5k - 10k. Dovrebbe essere abbastanza per rendere la forza bruta troppo costosa e continuare a eseguire le tue app senza notevole ritardo. Qui è un'implementazione di c # disponibile in commercio.

    
risposta data 01.07.2017 - 17:05
fonte

Leggi altre domande sui tag