¿Por qué se ha desaprobado la opción salt a partir de PHP 7.0.0?

2

enlace

¿Eso es menos seguro?

echo password_hash("rasmuslerdorf", PASSWORD_DEFAULT);
=> $2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K

Y con costo extra:

$options = [
    'cost' => 12,
];
echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options);

=>$2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K

¿Es eso "demasiado predecible"?

Pregunta adicional: si se expone una contraseña encriptada arriba, ¿cuánto tiempo tomaría "crackear" una? Teniendo en cuenta que los hackers tienen una docena de computadoras buenas, las cuales solo tardaron unas horas en descifrar nuestra contraseña de administrador en sha256 sin saber la sal.

Descargo de responsabilidad : primero leí sobre el cifrado hace 13 años, pero la CPU de mi cerebro nunca fue capaz de procesar completamente esos conceptos, demasiada matemática. Ahora mi jefe me asigna la tarea, así que supongo que hacer una pregunta simple puede ayudarme un poco.

    
pregunta Phung D. An 20.06.2018 - 17:49
fuente

1 respuesta

6

No es menos seguro porque, en ausencia de una sal provista manualmente, una sal generada de forma segura se crea y utiliza automáticamente. Por lo tanto, la opción de proporcionar la suya propia, aunque podría ser tan segura , nunca sería más segura, y podría ser (y probablemente a menudo) menos segura si la técnica de generación de sal fuera deficiente.

Si significaba que no se usaba sal, se sería menos seguro, pero afortunadamente ese no es el caso ... Solo está obteniendo una configuración predeterminada más segura.

    
respondido por el Xander 20.06.2018 - 17:54
fuente

Lea otras preguntas en las etiquetas