Non è sicuro usare PBKDF2 su una password con hash SHA1? [duplicare]

0

Se hai già hash password SHA1 e stai provando a migrare a un algoritmo di hash della password migliore, è meno sicuro usare semplicemente PBKDF2 per hash gli hash SHA1 che hai già invece di migrare gli utenti quando si collegheranno di nuovo e hash la password con PBKDF2 direttamente?

In altre parole, c'è qualche differenza tra questi due approcci?:

PBKDF2(SHA1(password)) o PBKDF2(password)

La possibilità di eseguire la migrazione degli hash esistenti in un'unica operazione renderebbe la migrazione molto più semplice.

    
posta John 08.06.2017 - 22:00
fonte

1 risposta

1

Questo è uno scenario di conversione ad interim piuttosto comune. Se hai il lusso di avere il controllo sul codice che gestisce l'autenticazione e in grado di supportare entrambi i metodi simultaneamente, questo è efficiente dal punto di vista operativo senza sacrificare la sicurezza, se implementato correttamente.

Riferimento informativo qui .

    
risposta data 09.06.2017 - 00:53
fonte

Leggi altre domande sui tag