¿Hay una regla de oro para el tiempo mínimo para una función de hashing de contraseña?

Navega tus respuestas
1

¿Qué tan rápido es demasiado rápido? 50ms? 500ms?

Por ejemplo, Argon2d tiempo = 1 hilos = 1 mem = 65536 toma 50 ms con el EC2 de hoy, ¿es eso "suficientemente bueno"?

Obviamente, depende de los recursos de los atacantes y la entropía de las contraseñas, pero solo estoy buscando una regla general aplicable a los propietarios de sitios web típicos; No busco una fórmula ni nada.

    
pregunta dtgq 23.10.2017 - 22:12
fuente

1 respuesta

1

¿Tiempo mínimo? Desea que la función hash tarde todo el tiempo que encuentre tolerable para su aplicación.

Usted sugirió 50ms y 500ms. Mientras que 50 ms es demasiado rápido, 500 ms es solo un poco lento. En 2015, @Thomas Pornin recomendó una velocidad mínima de 241ms . Esa fue la recomendación hace 2 años, por lo que es posible que desee subir un poco más, por ejemplo, 270 ms.

Por supuesto, puedes usar tus 500 ms, pero solo si no es demasiado lento para tu aplicación.

    
respondido por el Joe 23.10.2017 - 23:08
fuente

Lea otras preguntas en las etiquetas

aplicaciones de Android, ¿la pérdida de IP de WebRTC afecta a otras aplicaciones además de a los navegadores (como YouTube, etc.)? PCI DSS para servidores web que no almacenan información de la tarjeta de crédito