En mi código calculo hashes para códigos conocidos y un secreto con SHA-1:
SHA-1(code + secret) = hash
Un atacante puede realizar un análisis estadístico en la base de datos y, por ejemplo, suponer que el código 03220
produce una salida específica.
SHA-1(03220 + secret) = f24647f6573032838969db0934c63f6aa99c6173
El secreto tiene una longitud de 120 bits y, por ejemplo, Wqj5ASoan1iCjnjLeO6fL
.
Mi pregunta es cuánto tiempo le tomaría a un atacante a la fuerza bruta el secreto, cuando conoce el código usado y la salida del hash. ¿Es seguro?