Me topé con algo llamado " scrypt " que pretende agregar requisitos de complejidad de tiempo / espacio fijos en una clave basada en contraseña derivación.
Cotizando desde su página:
Una sencilla utilidad de cifrado basada en contraseña está disponible como una demostración de la función de derivación de clave scrypt. En el hardware moderno y con los parámetros predeterminados, el costo de descifrar la contraseña en un archivo cifrado por scrypt enc es aproximadamente 100 mil millones de veces más que el costo de descifrar la misma contraseña en un archivo cifrado por openssl enc; esto significa que una contraseña de cinco caracteres con scrypt es más fuerte que una contraseña de diez caracteres con openssl [ énfasis mío ].
No creo cualquier persona disputa que tener requisitos de complejidad de tiempo / espacio fijos puede dificultar la ruptura de contraseñas. Sin embargo, no he visto ningún trabajo revisado por pares hecho con él en círculos criptográficos o infosec, por lo que no estoy convencido de su implementación. (Quiero decir, simplemente no puedes tomar los métodos actuales y colocar algo como esto sobre ellos, así que deben implementar su propio algoritmo).
¿Alguien puede arrojar luz sobre Scrypt o cualquiera, tal vez sistemas de derivación de claves basados en contraseñas en uso con complejidad de tiempo / espacio más conocidos?