Gli hash salati non sembrano offrire una vera protezione per le password degli utenti da solo. Fintanto che un hacker ha un modo rapido per controllare se una password è giusta o sbagliata, è banale imporla di vedere le password in chiaro. Soprattutto se l'attaccante utilizza GPU o una soluzione FPGA / ASIC.
Da quello che ho raccolto, dovrei inviare le mie password hash + salate a un server dedicato (hardened) sulla mia rete il cui unico compito è la convalida (tramite chiavi segrete). Un hacker dovrebbe ottenere l'accesso a entrambi i server prima che le password in chiaro possano essere recuperate. Mi piace questa soluzione, ma non mi piace il costo di affittare un altro server.
Esistono alternative all'utilizzo di un server di convalida dedicato?