¿Qué riesgo representan los procesadores SHA256 dedicados a las operaciones de TI?

Tal hardware puede hacer la vida más difícil para las personas que confían en PBKDF2 para el hashing de contraseñas. Las funciones de hash de contraseña son intencionadamente lentas, lentas para el servidor honesto y para el atacante por igual. Queremos que sea tan lento como sea tolerable para el servidor que lo usa, de modo que se vuelva (con suerte) intolerablemente lento para el atacante.

La ventaja del demandado en el juego de hash de contraseñas es la complejidad de la contraseña. El acusado desea una función que pueda usarse para verificar una contraseña de una a la vez, mientras que el atacante debe probar millones o miles de millones de ellas.

Las ventajas del atacante son:

• Paciencia: el atacante puede permitirse pasar dos semanas descifrando la contraseña, mientras que el acusado debe verificar la contraseña de un usuario en un segundo (los usuarios no tienen paciencia).
• Dinero: el presupuesto del atacante para hardware puede exceder al del demandado.
• Paralelización: el atacante tiene muchas contraseñas que probar y, por lo tanto, puede aprovechar al máximo el hardware que puede realizar cálculos paralelos (por ejemplo, agrupaciones, GPU o simplemente un montón de PC "prestadas" momentáneamente de una universidad, en el caso el atacante es un estudiante aburrido).
• Especialización: el atacante puede invertir en hardware especializado (como los que usted menciona) y así hacer más hashing por cada dólar invertido que el demandado (porque el demandado usa un servidor que también debe hacer algo útil además de verificar las contraseñas).

El hardware especializado que es bueno en SHA-256 es una ventaja para el atacante, si la función de hashing de contraseña usa SHA-256, por supuesto. Algunas otras funciones de hashing de contraseña (por ejemplo, bcrypt y, más aún, scrypt ) son más resistentes a la GPU y ofrecerán una protección un poco mejor, siempre que nadie comience a producir en masa hardware especializado para craqueo de cifrado, por supuesto (por ejemplo, la familia Virtex de FPGA de Xilinx , que tiene bloques de RAM incorporados y, por lo tanto, puede calcular bcrypt de manera bastante eficiente). Consulte esta respuesta para obtener una discusión más detallada.

Tenga en cuenta que si bien el hardware especializado SHA-256 hace que teóricamente sea más fácil atacar por adelantado a SHA-256 (crear colisiones, calcular imágenes previas ...), el factor de trabajo para estos ataques aún está lejos en la zona inviable. Consulte esta respuesta para obtener un análisis.

Esto reduce el costo-tiempo de compensación para el bruto forzando contraseñas cortas. Creo que esto significa que debe recalcular el costo para forzar la configuración bruta. Si los activos que está protegiendo valen más que el costo de forzar su configuración actual, debe agregar más iteraciones, complejidad de contraseña o requisitos de longitud mínima.

¿Cuánto cuesta destruir las contraseñas de 6-8 dígitos en menos de 2 semanas? Esto definitivamente cambia la economía y debería afectar la forma en que protege sus activos, a menos que ya tenga mucho margen.