Cryptage du mot de passe: PBKDF2 (en utilisant sha512 x 1000) vs Bcrypt
J'ai lu à propos de la Gawker incident et plusieurs articles ont surgi concernant uniquement à l'aide de bcrypt de hachage des mots de passe et je veux m'assurer que mon mécanisme de hachage est suffisamment sécurisé pour éviter de passer à une autre méthode. Dans mon application, j'ai opté pour un PBKDF2 mise en œuvre en utilisant sha2-512 et un minimum de 1000 itérations.
Puis-je demander des avis sur l'utilisation de PBKDF2 vs Bcrypt et si oui ou non je dois effectuer un changement?
source d'informationauteur buggedcom
Vous devez vous connecter pour publier un commentaire.
Vous êtes bon avec PBKDF2, pas besoin de sauter de bcrypt.
Bien que, la recommandation d'utiliser les 1000 itérations a été faite en l'an 2000, maintenant, vous voulez beaucoup plus.
Aussi, vous devriez prendre plus de soin lors de l'utilisation de bcrypt:
De scrypt papier [PDF]
Cela dit, il y a aussi scrypt.
Toute comparaison serait incomplète sans la table de la scrypt document mentionné ci-dessus:
Itération compte pour PBKDF2-HMAC-SHA256 utilisé il y a les 86 000 et 4,300,000.
Commentaire (re: le titre):
Mon avis:
Utilisation PBKDF2 plus de Bcrypt. (Je viens d'en avoir plus de foi dans SHA que Blofish, pour aucune raison)
Quant à savoir si vous devez mettre en œuvre un changement", je ne sais pas ce que vous demandez.
Édité à plus de séparer clairement le chiffrement /hachage de discussion de l'exposé de mes préférences w/r/t de l'algorithme.