PBKDF2 sal fuerte

Navega tus respuestas
1

Quiero usar un esquema de autenticación fuerte, así que decidí usar PBKDF2. Estoy usando PBKDF2 con el algoritmo SHA256, 5000 iteraciones y uso el nombre de usuario (que es la dirección de correo electrónico completa del usuario) como sal. Así que cada usuario tiene un correo electrónico único, su dirección de correo electrónico es su identificador. Entonces, cuando ingresen la contraseña, usaré PBKDF2 con 5000 iteraciones y el algoritmo SHA256 para la contraseña del usuario hash.

¿Crees que es bueno? ¿Puede decirme si hay algún problema de seguridad en este esquema de hash?

    
pregunta JustACPPFan 11.01.2015 - 01:13
fuente

1 respuesta

1

Sí, hay una debilidad. Debe cambiar la sal cada vez que el usuario cambie la contraseña, y no puede hacerlo con su esquema. Un atacante que sabe lo que debe ser la sal puede montar un ataque de precálculo, calculando hashes para miles de contraseñas. Luego, incluso si un usuario cambia la contraseña, es probable que el atacante ya la haya calculado previamente.

La sal debe provenir de un generador de números pseudoaleatorios (CSPRNG) criptográficamente seguro.

    
respondido por el Bob Brown 11.01.2015 - 01:15
fuente

Lea otras preguntas en las etiquetas

¿Cómo funcionan y dan privacidad las direcciones IP compartidas? ¿Es seguro publicar datos en una dirección https?