Domande con tag 'bcrypt'

1
risposta

L'input prevedibile (come le intestazioni di bcrypt) minaccia la crittografia basata su password?

Sto creando un sistema per archiviare la versione hash di alcuni segreti. Ho letto il blog di Dropbox su come memorizzano i loro password e hanno preso ispirazione da ciò che stanno facendo. Dropbox, per quanto ho capito, fa questo: Ott...
posta 21.12.2016 - 12:56
2
risposte

BCrypt + SHA256 vs PBKDF2-SHA256

Da questa domanda , l'OP ha postato la password inserita dall'utente, eseguendola tramite BCrypt, quindi eseguendo tale tramite SHA256 per produrre una chiave derivata da password a 256 bit. ( EDIT: Per chiarire, queste due opzioni sono cons...
posta 23.01.2013 - 05:35
1
risposta

RESTful schema di sicurezza e autenticazione delle applicazioni Web

Sto costruendo un'applicazione web in cui il front-end è un'app a pagina singola e il back-end lo serve tramite un'API RESTful. Voglio assicurarmi di implementare l'autenticazione utente con le migliori pratiche di sicurezza. Sto pianificando...
posta 30.01.2015 - 04:20
3
risposte

Le password di hashing con bcrypt e una costante non sono più sicure di SHA1?

Ho creato un'API che consente agli utenti di inviare dati crittografati per essere archiviati nel cloud. Per recuperare i loro dati, l'API richiede all'utente di fornire solo l'ID oggetto MongoDB che gli viene fornito quando ha inviato i propri...
posta 11.07.2016 - 18:16
3
risposte

In che modo i minatori di crittogame ASIC influiscono sulla sicurezza dello scrypt?

La disponibilità di questi minatori è un motivo per favorire bcrypt (o qualcos'altro) su scrypt? Voglio dire, l'obiettivo di una funzione di hash della password è di massimizzare il lavoro necessario a un utente malintenzionato per interrompe...
posta 17.10.2014 - 12:50
3
risposte

È sicuro (o una buona idea) pubblicizzare l'uso di bcrypt?

Quindi, il nostro database utilizza bcrypt con un'elevata iterazione / costo per memorizzare le password degli utenti. Utilizziamo https come persone intelligenti e continuiamo a lavorare per trovare il modo di aggirare la nostra sicurezza prima...
posta 05.02.2014 - 21:19
3
risposte

Hashing lato client per ridurre il valore dell'euristica per indovinare la password

Sì, questa è 'un'altra domanda di hashing sul lato client'. Ma, non partire ancora, penso che qui ci sia un certo valore. Mi piacerebbe fare qualcosa per mitigare l'effetto sulla comunità nel suo complesso quando il mio database di hash delle...
posta 04.03.2013 - 16:51
2
risposte

Per le credenziali ad alta entropia, l'hashing SHA256 è abbastanza buono?

Diciamo che ho un database di credenziali ad alta entropia (ad esempio valori casuali a 256 bit) usati come chiavi API dai client. Mi piacerebbe averli nel mio database in modo che un compromesso del database non consenta a un utente malintenzio...
posta 05.05.2016 - 05:46
2
risposte

Esiste uno svantaggio crittografico nell'applicare bcrypt a una password già hash

Inizialmente avevo chiesto questo su StackOverflow , ma a causa della mancanza di trazione e di una raccomandazione da parte di un utente, l'ho chiesto anche qui. Immagina uno scenario in cui un'applicazione client invia una password a un se...
posta 11.06.2018 - 10:55
2
risposte

Devo impostare la lunghezza massima dei caratteri per la password usando bcrypt?

Uso bcrypt per creare un hash della password e nella documentazione php che dice Caution: Using the PASSWORD_BCRYPT for the algo parameter, will result in the password parameter being truncated to a maximum length of 72 characters. S...
posta 13.04.2015 - 18:11