¿Es seguro usar pbkdf2 para el hashing de contraseñas y la generación de claves?

2

Estoy escribiendo un administrador de contraseñas, ahora mismo para cada sitio individual, ya usé la contraseña maestra + sal aleatoria con PBKDF2 para generar una clave de cifrado para cifrar su contraseña (cada sitio tiene su propio salt).

¿Sigue siendo seguro usar la contraseña maestra + otro salt aleatorio con PBKDF2 para generar un hash para la contraseña maestra (este hash se almacenará en la base de datos para la autenticación del usuario)? ¿O debería usar un algoritmo de hash como SHA-256?

    
pregunta gzup 07.07.2015 - 09:20
fuente

1 respuesta

1

Ya que PBKDF2 podría usarse para generar tantos bytes como desee / necesite, por supuesto, puede usarlo tanto para el hashing de contraseña maestra como para la generación de claves. Ni siquiera necesita usar sal diferente, simplemente genere un hash de n bytes, luego genere n + m bytes, descarte los primeros n bytes y use los otros m bytes como clave.

    
respondido por el tsukumogami 30.07.2015 - 12:11
fuente

Lea otras preguntas en las etiquetas