¿Piensa en crear condiciones que no se puedan ampliar para forzar la fuerza bruta incluso a las contraseñas pequeñas?

4

Me topé con algo llamado " scrypt " que pretende agregar requisitos de complejidad de tiempo / espacio fijos en una clave basada en contraseña derivación.

Cotizando desde su página:

Una sencilla utilidad de cifrado basada en contraseña está disponible como una demostración de la función de derivación de clave scrypt. En el hardware moderno y con los parámetros predeterminados, el costo de descifrar la contraseña en un archivo cifrado por scrypt enc es aproximadamente 100 mil millones de veces más que el costo de descifrar la misma contraseña en un archivo cifrado por openssl enc; esto significa que una contraseña de cinco caracteres con scrypt es más fuerte que una contraseña de diez caracteres con openssl [ énfasis mío ].

No creo cualquier persona disputa que tener requisitos de complejidad de tiempo / espacio fijos puede dificultar la ruptura de contraseñas. Sin embargo, no he visto ningún trabajo revisado por pares hecho con él en círculos criptográficos o infosec, por lo que no estoy convencido de su implementación. (Quiero decir, simplemente no puedes tomar los métodos actuales y colocar algo como esto sobre ellos, así que deben implementar su propio algoritmo).

¿Alguien puede arrojar luz sobre Scrypt o cualquiera, tal vez sistemas de derivación de claves basados en contraseñas en uso con complejidad de tiempo / espacio más conocidos?

    
pregunta logicalscope 07.01.2012 - 01:46
fuente

1 respuesta

3

No marcaré esto como un duplicado (de hecho, te daré una patada +1), pero responderé principalmente apuntando a ¿Algún experto en seguridad recomienda bcrypt para el almacenamiento de contraseñas?

La respuesta aceptada es de nuestro criptógrafo residente. El concepto en sí, mencionado en otra respuesta, es estiramiento de la tecla . Para eso, hay RFC, algoritmos sugeridos por el NIST y artículos publicados como referencias en la página de Wikipedia desde 1978.

Leer sobre esos materiales debería darte una buena comprensión. Vea también nuestro sitio hermano crypto.stackexchange.com donde se analizan los algoritmos internos.

    
respondido por el Jeff Ferland 07.01.2012 - 04:35
fuente

Lea otras preguntas en las etiquetas